forum.opennet.ru - "OpenNews: Немного о блокировке DSL сетей, через которые шлют..." (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"OpenNews: Немного о блокировке DSL сетей, через которые шлют..."

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Немного о блокировке DSL сетей, через которые шлют..."
Сообщение от opennews on 18-Июл-03, 06:22
Dmitry Provodnikov, в рассылке antispam (http://www.ofisp.org/antispam.html) заметил, что на blackholes.us (http://www.blackholes.us/) появился десяток новых списков блокировки с адресами xDSL сетей, через которые пересылается огромный объем спама: - wanadoo-fr.blackholes.us - swbell.blackholes.us - rogers.blackholes.us - interbusiness.blackholes.us - comcast.blackholes.us - broadwing.blackholes.us - bellsouth.blackholes.us - att.blackholes.us - affinity.blackholes.us - qwest.blackholes.us Почти тот же результат, у меня реализован в postfix через блокировку по маске в имени хоста отправителя. Список блокировки можно скачать здесь (http://www.opennet.ru/dev/spam_check/dsl_stoplist.txt). Кстати, сегодня спамеры отблагодарили меня за утилиту spam_check (http://www.opennet.ru/dev/spam_check/), разослав спам с рекламой продажи сотовых телефонов с моим email во "From:" и "MAIL FROM". Чувствую, устану проводить ликбез по поводу легкости подделки email отправителя :-( URL: http://www.blackholes.us/ Новость: http://www.opennet.ru/opennews/art.shtml?num=2693
Cообщить модератору \| Наверх \| ^

Оглавление

Немного о блокировке DSL сетей, через которые шлют спам., poige, 06:22 , 18-Июл-03, (1)
OpenNews: Немного о блокировке DSL сетей, через которые шлют..., poige, 06:26 , 18-Июл-03, (2)

Интернет беззащитен, Maxim Chirkov, 11:49 , 18-Июл-03, (3)

Интернет беззащитен, poige, 09:18 , 19-Июл-03, (5)

Немного о блокировке DSL сетей..., Аноним, 12:45 , 18-Июл-03, (4)

Немного о блокировке DSL сетей..., Sergey, 21:13 , 01-Ноя-03, (6)

Немного о блокировке DSL сетей, через которые шлют спам., Jury Danilov, 19:48 , 15-Ноя-04, (7)

Немного о блокировке DSL сетей, через которые шлют спам., Maxim Chirkov, 09:31 , 17-Ноя-04, (8)

Сообщения по теме [Сортировка по времени, UBB]

1. "Немного о блокировке DSL сетей, через которые шлют спам."

Сообщение от poige on 18-Июл-03, 06:22

NULL post

Cообщить модератору | Наверх | ^

2. "OpenNews: Немного о блокировке DSL сетей, через которые шлют..."

Сообщение от poige on 18-Июл-03, 06:26

[...]
>Кстати, сегодня спамеры отблагодарили меня за утилиту spam_check (http://www.opennet.ru/dev/spam_check/), разослав спам с
>рекламой продажи сотовых телефонов с моим email во "From:" и "MAIL
>FROM". Чувствую, устану проводить ликбез по поводу легкости подделки email отправителя
>:-(
Очевиден факт злоумышленных действий. Суд?
[...]
/poige
--
http://www.i.morning.ru/~poige/

Cообщить модератору | Наверх | ^

3. "Интернет беззащитен"

Сообщение от Maxim Chirkov on 18-Июл-03, 11:49

>Очевиден факт злоумышленных действий. Суд?
Не стоит жертвовать нервными клетками из-за ограниченных людей, плохих людей не так много, но зла от них мало не покажется.
Вообще, всерьез начинает беспокоить беззащитность Интернета против необремененных задатками нравственности людей. Если раньше, морально-этический уровень пользователей сети был гораздо выше среднего (как правило это были взрослые люди с высшим образованием и сформировавшимся мировозрением), то теперь сеть наводнена злобными созданиями, необремененными нравственными самоограничениями.
Интернет для них - место где можно выплеснуть негатив, где свобода воспринимается как безнаказанность.
Если в реальном мире закон строго следит за границами дозволенного, то в сети, мало того, что нет законов регулирующих дозволенные действия (очень трудно сформировать, что можно, а что нет, и очень легко подставить невинного), но самое печальное, при наличии минимальных знаний (которые сейчас можно найти в популярной литературе), элементарно замести следы так, что и следа не останется.
С подобным приходится сталкиваться ежедневно, флудят, постят ругань в форумы, пытаются блокировать сервисы устраивая DoS'ы.... :-(
Сегодня в сети миллионы зараженных троянскими программами ПК, еще больше систем которые содержат уязвимости, т.е. всего один злодей может нанести невообразимый ущерб сети.

Cообщить модератору | Наверх | ^

5. "Интернет беззащитен"

Сообщение от poige on 19-Июл-03, 09:18

>>Очевиден факт злоумышленных действий. Суд?
>
>Не стоит жертвовать нервными клетками из-за ограниченных людей, плохих людей не так
>много, но зла от них мало не покажется.
Твое дело, конечно. Только, по сути, ты отказываешься от
законного претворения справедливости. В нашей стране это
традиция...
И еще, вопрос -- в чем, по-твоему, трата нервных клеток?
В том, что ты доводишь дело до суда и с большой вероятностью
выиграываешь процесс, или в том, что получаешь "тонны" писем?...
>Вообще, всерьез начинает беспокоить беззащитность Интернета против необремененных задатками нравственности людей. Если
Вот для этого и нужно пытаться применять суды.
>раньше, морально-этический уровень пользователей сети был гораздо выше среднего (как правило
Знаем, плавали. Раньше оно было раньше. Теперь по-иному. Се ля ви.
>это были взрослые люди с высшим образованием и сформировавшимся мировозрением), то
>теперь сеть наводнена злобными созданиями, необремененными нравственными самоограничениями.
>Интернет для них - место где можно выплеснуть негатив, где свобода воспринимается
>как безнаказанность.
>
>Если в реальном мире закон строго следит за границами дозволенного, то в
>сети, мало того, что нет законов регулирующих дозволенные действия (очень трудно
>сформировать, что можно, а что нет, и очень легко подставить невинного),
>но самое печальное, при наличии минимальных знаний (которые сейчас можно найти
>в популярной литературе), элементарно замести следы так, что и следа не
>останется.
По почтовым заголовкам можно пробовать. Не каждое SPAM-письмо
такое уже "хитрое".
>С подобным приходится сталкиваться ежедневно, флудят, постят ругань в форумы, пытаются блокировать
>сервисы устраивая DoS'ы.... :-(
>
>Сегодня в сети миллионы зараженных троянскими программами ПК, еще больше систем которые
>содержат уязвимости, т.е. всего один злодей может нанести невообразимый ущерб сети.
Конечно. Поэтому нужны судебные преценденты. Пока в них не
обращаемся, для законодателей нет реальных проблем, они
мифические...
/poige
--
http://www.i.morning.ru/~poige/

Cообщить модератору | Наверх | ^

4. "Немного о блокировке DSL сетей..."

Сообщение от Аноним on 18-Июл-03, 12:45

Верной дорогой идете товарищи!
А вот мои эксерсизы для sendmail.
Это лишь фрагменты, но может, полезны будут любознательным
D{Rdots}([^.]*[.])
# suspicious relay names elements #
D{RnameIPlike}([0-9]{1,}[\-\.]){3,}
D{RnamesW}((dsl|dial(up)*|dhcp|modem|cable|ppp|node|pool|host|user|[^a-z]*ip[\-0-9]{1,}|isdn)[\-\.0-9]${Rdots}{2,})
D{RnameTooMuchDigits}([0-9][^.0-9]*){5,}${Rdots}{2,}|([0-9][^.0-9]*){3,}${Rdots}{3,}|([0-9][^.0-9]*){2,}${Rdots}{4,}
D{RnameAlphaDigitMix}([A-Za-z][0-9]{1,}[\-]*){2,}${Rdots}{3,}|([0-9][A-Za-z]{1,}[\-]*){2,}${Rdots}{3,}
# What we decide suspicious mail relay #
D{Rnotsmtpserver}${RnameIPlike}|${RnamesW}|${RnameTooMuchDigits}|${RnameAlphaDigitMix}
# What we decide exceptions #
D{Rrealsmtpserver}(mail)|(^web)|(^www)|(correo)|(relay)|(smtp)|(^mx[0-9]{0,2}\.)|([^a-z0-9]*mta[\-0-9]{0,3})
# macros
KNotRealSmtpServer regex -a@MATCH  ${Rrealsmtpserver}
KRealSmtpServer regex -a@MATCH ${Rrealsmtpserver}
### Local_check_relay
SLocal_check_relay
### NoStrongCheck = OK
R$* $: $(storage {NoStrongCheck} $@ OK $) $1
### Is there client in access.db?
R$+ $| $+ $: $>D < $1 > <?> <! Connect> < $2 >
R   $| $+ $: $>A < $1 > <?> <! Connect> <>
R<?> <$+> $: $>A < $1 > <?> <! Connect> <>
R<?> <$*> $: OK
R<$={Accept}> <$*> $@ $1 ### exit rule. NoStrongCheck remains OK
R<REJECT> <$*> $#error $@ 5.7.1 $: "550 Access denied"
R<DISCARD> <$*> $#discard $: discard
R<ERROR:$-.$-.$-:$+> <$*> $#error $@ $1.$2.$3 $: $4
R<ERROR:$+> <$*> $#error $: $1
### NoStrongCheck now empty.
R$* $: $(storage {NoStrongCheck} $) $1
### reverse DNS Lookup
R$* $: < $&{client_resolve} >
R<FAIL> $#error $@ 5.7.1 $: "550 Relaying denied. IP name lookup failed " $&{client_name}
#### Complex client host name ####
R$* $: < $&{client_name} >
R$* $: $(RealSmtpServer $1 $) # exceptions
R@MATCH $@ OK # like mail-(complex.client.name) etc.
# others
R$* $: < $&{client_name} >
R$* $: $(NotRealSmtpServer $1 $)
R@MATCH $#error $@ 5.7.1 $: "550 ${SspamComplexName}"
### EOLocal_check_relay

Cообщить модератору | Наверх | ^

6. "Немного о блокировке DSL сетей..."

Сообщение от Sergey on 01-Ноя-03, 21:13

>эксерсизы для sendmail
Здорово! Уже 2 года ищу подобные правила!
(Сам написать не созрел :-(  )
А можно как-то поподробнее для неспеца в sendmail пояснить
немного что, куда итд...
Сразу могу сказать, что подобные правила дают эффект в 2-3 раза больше как минимум, против простого набора онлайн списков  типа
dnsbl.njabl.org relays.ordb.org dul.ru  итп ...

Cообщить модератору | Наверх | ^

7. "Немного о блокировке DSL сетей, через которые шлют спам."

Сообщение от Jury Danilov on 15-Ноя-04, 19:48

Поставил скрипт, с 9 числа block_list.txt вырос до 280 кб. Можно анализировать.
отсортировал... и задумался...
12.203.142.207...Host = 12-203-142-207.client.insightBB.com
12.203.159.131...Host = 12-203-159-131.client.insightBB.com
12.203.185.208...Host = 12-203-185-208.client.insightBB.com
Может быть немного дописать скрипт, чтобы можно было определить эти самые границы, ну например, у client.insightBB.com, коих записей уже около 20 и заменить одной, двумя, вырезающими всю часть сети под корень...
А еще лучше, мне кажется, для почтового сервера такие записи делать не для sendmail, а для ipfw,
тогда и от еще не взломанных, но "перспективных" узлов данного провайдера, не то что писем, вообще траффика не будет. Или я не прав?...

Cообщить модератору | Наверх | ^

8. "Немного о блокировке DSL сетей, через которые шлют спам."

Сообщение от Maxim Chirkov (ok) on 17-Ноя-04, 09:31

>Может быть немного дописать скрипт, чтобы можно было определить эти самые границы,
>ну например, у client.insightBB.com, коих записей уже около 20 и заменить
>одной, двумя, вырезающими всю часть сети под корень...
У меня где-то валялся скрипт для агрегирования блокировок по сетям, как-нибудь найду, приведу к должному виду и включу в поставку spam_check.
Советую также посмотреть скрипты архивирования блэклистов на http://www.opennet.ru/dev/spam_check/scripts/ рекомендую использовать arc_bl.sh ежедневно.
>А еще лучше, мне кажется, для почтового сервера такие записи делать не
>для sendmail, а для ipfw,
Тогда нужно использовать пакетный фильтр с возможностью хэширвоания, который не просматривает правила блокировки линейно, т.е. для просмотра миллиона записей не будет осуществлен перебор списка до первого срабатывания.

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Немного о блокировке DSL сетей, через которые шлют спам."
Сообщение от poige on 18-Июл-03, 06:22
NULL post
Cообщить модератору \| Наверх \| ^

2. "OpenNews: Немного о блокировке DSL сетей, через которые шлют..."
Сообщение от poige on 18-Июл-03, 06:26
[...] >Кстати, сегодня спамеры отблагодарили меня за утилиту spam_check (http://www.opennet.ru/dev/spam_check/), разослав спам с >рекламой продажи сотовых телефонов с моим email во "From:" и "MAIL >FROM". Чувствую, устану проводить ликбез по поводу легкости подделки email отправителя >:-( Очевиден факт злоумышленных действий. Суд? [...] /poige -- http://www.i.morning.ru/~poige/
Cообщить модератору \| Наверх \| ^


	3. "Интернет беззащитен"
	Сообщение от Maxim Chirkov on 18-Июл-03, 11:49
	>Очевиден факт злоумышленных действий. Суд? Не стоит жертвовать нервными клетками из-за ограниченных людей, плохих людей не так много, но зла от них мало не покажется. Вообще, всерьез начинает беспокоить беззащитность Интернета против необремененных задатками нравственности людей. Если раньше, морально-этический уровень пользователей сети был гораздо выше среднего (как правило это были взрослые люди с высшим образованием и сформировавшимся мировозрением), то теперь сеть наводнена злобными созданиями, необремененными нравственными самоограничениями. Интернет для них - место где можно выплеснуть негатив, где свобода воспринимается как безнаказанность. Если в реальном мире закон строго следит за границами дозволенного, то в сети, мало того, что нет законов регулирующих дозволенные действия (очень трудно сформировать, что можно, а что нет, и очень легко подставить невинного), но самое печальное, при наличии минимальных знаний (которые сейчас можно найти в популярной литературе), элементарно замести следы так, что и следа не останется. С подобным приходится сталкиваться ежедневно, флудят, постят ругань в форумы, пытаются блокировать сервисы устраивая DoS'ы.... :-( Сегодня в сети миллионы зараженных троянскими программами ПК, еще больше систем которые содержат уязвимости, т.е. всего один злодей может нанести невообразимый ущерб сети.
	Cообщить модератору \| Наверх \| ^


	5. "Интернет беззащитен"
	Сообщение от poige on 19-Июл-03, 09:18
	>>Очевиден факт злоумышленных действий. Суд? > >Не стоит жертвовать нервными клетками из-за ограниченных людей, плохих людей не так >много, но зла от них мало не покажется. Твое дело, конечно. Только, по сути, ты отказываешься от законного претворения справедливости. В нашей стране это традиция... И еще, вопрос -- в чем, по-твоему, трата нервных клеток? В том, что ты доводишь дело до суда и с большой вероятностью выиграываешь процесс, или в том, что получаешь "тонны" писем?... >Вообще, всерьез начинает беспокоить беззащитность Интернета против необремененных задатками нравственности людей. Если Вот для этого и нужно пытаться применять суды. >раньше, морально-этический уровень пользователей сети был гораздо выше среднего (как правило Знаем, плавали. Раньше оно было раньше. Теперь по-иному. Се ля ви. >это были взрослые люди с высшим образованием и сформировавшимся мировозрением), то >теперь сеть наводнена злобными созданиями, необремененными нравственными самоограничениями. >Интернет для них - место где можно выплеснуть негатив, где свобода воспринимается >как безнаказанность. > >Если в реальном мире закон строго следит за границами дозволенного, то в >сети, мало того, что нет законов регулирующих дозволенные действия (очень трудно >сформировать, что можно, а что нет, и очень легко подставить невинного), >но самое печальное, при наличии минимальных знаний (которые сейчас можно найти >в популярной литературе), элементарно замести следы так, что и следа не >останется. По почтовым заголовкам можно пробовать. Не каждое SPAM-письмо такое уже "хитрое". >С подобным приходится сталкиваться ежедневно, флудят, постят ругань в форумы, пытаются блокировать >сервисы устраивая DoS'ы.... :-( > >Сегодня в сети миллионы зараженных троянскими программами ПК, еще больше систем которые >содержат уязвимости, т.е. всего один злодей может нанести невообразимый ущерб сети. Конечно. Поэтому нужны судебные преценденты. Пока в них не обращаемся, для законодателей нет реальных проблем, они мифические... /poige -- http://www.i.morning.ru/~poige/
	Cообщить модератору \| Наверх \| ^

4. "Немного о блокировке DSL сетей..."
Сообщение от Аноним on 18-Июл-03, 12:45
Верной дорогой идете товарищи! А вот мои эксерсизы для sendmail. Это лишь фрагменты, но может, полезны будут любознательным D{Rdots}([^.][.]) # suspicious relay names elements # D{RnameIPlike}([0-9]{1,}[\-\.]){3,} D{RnamesW}((dsl\|dial(up)\|dhcp\|modem\|cable\|ppp\|node\|pool\|host\|user\|[^a-z]ip[\-0-9]{1,}\|isdn)[\-\.0-9]${Rdots}{2,}) D{RnameTooMuchDigits}([0-9][^.0-9]){5,}${Rdots}{2,}\|([0-9][^.0-9]){3,}${Rdots}{3,}\|([0-9][^.0-9]){2,}${Rdots}{4,} D{RnameAlphaDigitMix}([A-Za-z][0-9]{1,}[\-]){2,}${Rdots}{3,}\|([0-9][A-Za-z]{1,}[\-]){2,}${Rdots}{3,} # What we decide suspicious mail relay # D{Rnotsmtpserver}${RnameIPlike}\|${RnamesW}\|${RnameTooMuchDigits}\|${RnameAlphaDigitMix} # What we decide exceptions # D{Rrealsmtpserver}(mail)\|(^web)\|(^www)\|(correo)\|(relay)\|(smtp)\|(^mx[0-9]{0,2}\.)\|([^a-z0-9]mta[\-0-9]{0,3}) # macros KNotRealSmtpServer regex -a@MATCH ${Rrealsmtpserver} KRealSmtpServer regex -a@MATCH ${Rrealsmtpserver} ### Local_check_relay SLocal_check_relay ### NoStrongCheck = OK R$ $: $(storage {NoStrongCheck} $@ OK $) $1 ### Is there client in access.db? R$+ $\| $+ $: $>D < $1 > <?> <! Connect> < $2 > R $\| $+ $: $>A < $1 > <?> <! Connect> <> R<?> <$+> $: $>A < $1 > <?> <! Connect> <> R<?> <$> $: OK R<$={Accept}> <$> $@ $1 ### exit rule. NoStrongCheck remains OK R<REJECT> <$> $#error $@ 5.7.1 $: "550 Access denied" R<DISCARD> <$> $#discard $: discard R<ERROR:$-.$-.$-:$+> <$> $#error $@ $1.$2.$3 $: $4 R<ERROR:$+> <$> $#error $: $1 ### NoStrongCheck now empty. R$* $: $(storage {NoStrongCheck} $) $1 ### reverse DNS Lookup R$* $: < $&{client_resolve} > R<FAIL> $#error $@ 5.7.1 $: "550 Relaying denied. IP name lookup failed " $&{client_name} #### Complex client host name #### R$* $: < $&{client_name} > R$* $: $(RealSmtpServer $1 $) # exceptions R@MATCH $@ OK # like mail-(complex.client.name) etc. # others R$* $: < $&{client_name} > R$* $: $(NotRealSmtpServer $1 $) R@MATCH $#error $@ 5.7.1 $: "550 ${SspamComplexName}" ### EOLocal_check_relay
Cообщить модератору \| Наверх \| ^


	6. "Немного о блокировке DSL сетей..."
	Сообщение от Sergey on 01-Ноя-03, 21:13
	>эксерсизы для sendmail Здорово! Уже 2 года ищу подобные правила! (Сам написать не созрел :-( ) А можно как-то поподробнее для неспеца в sendmail пояснить немного что, куда итд... Сразу могу сказать, что подобные правила дают эффект в 2-3 раза больше как минимум, против простого набора онлайн списков типа dnsbl.njabl.org relays.ordb.org dul.ru итп ...
	Cообщить модератору \| Наверх \| ^

7. "Немного о блокировке DSL сетей, через которые шлют спам."
Сообщение от Jury Danilov on 15-Ноя-04, 19:48
Поставил скрипт, с 9 числа block_list.txt вырос до 280 кб. Можно анализировать. отсортировал... и задумался... 12.203.142.207...Host = 12-203-142-207.client.insightBB.com 12.203.159.131...Host = 12-203-159-131.client.insightBB.com 12.203.185.208...Host = 12-203-185-208.client.insightBB.com Может быть немного дописать скрипт, чтобы можно было определить эти самые границы, ну например, у client.insightBB.com, коих записей уже около 20 и заменить одной, двумя, вырезающими всю часть сети под корень... А еще лучше, мне кажется, для почтового сервера такие записи делать не для sendmail, а для ipfw, тогда и от еще не взломанных, но "перспективных" узлов данного провайдера, не то что писем, вообще траффика не будет. Или я не прав?...
Cообщить модератору \| Наверх \| ^


	8. "Немного о блокировке DSL сетей, через которые шлют спам."
	Сообщение от Maxim Chirkov (ok) on 17-Ноя-04, 09:31
	>Может быть немного дописать скрипт, чтобы можно было определить эти самые границы, >ну например, у client.insightBB.com, коих записей уже около 20 и заменить >одной, двумя, вырезающими всю часть сети под корень... У меня где-то валялся скрипт для агрегирования блокировок по сетям, как-нибудь найду, приведу к должному виду и включу в поставку spam_check. Советую также посмотреть скрипты архивирования блэклистов на http://www.opennet.ru/dev/spam_check/scripts/ рекомендую использовать arc_bl.sh ежедневно. >А еще лучше, мне кажется, для почтового сервера такие записи делать не >для sendmail, а для ipfw, Тогда нужно использовать пакетный фильтр с возможностью хэширвоания, который не просматривает правила блокировки линейно, т.е. для просмотра миллиона записей не будет осуществлен перебор списка до первого срабатывания.
	Cообщить модератору \| Наверх \| ^