Hello, on 14.01.2005 14:52, Sergey Chumakov at CGatePro@mx.ru wrote:
> Здравствуйте.
>
> Клиенты ловят вирус и начинают рассылку спама в огромных количествах.
> Существует целый комплекс проблем.
>
> 1. Методы борьбы со спамом (задержка SMTP промпта, ограничение кол-ва
> получателей в единицу времени) не работают для клиентских адресов.
>
> 2. Как производить диагностику подобных рассылок? Что можете
> посоветовать? Я пока могу реагировать только на резкое увеличение
> очереди и выборочно выловить письмо со спамом из нее. Это не очень
> удобно, вернее, совсем неудобно и неоперативно.
По первым двум пунктам: лучше вообще отходить от практики использованиясписка клиентских адресов для MUA, а насаждать административными методами аутентификацию при отсылке. Для пользователей лучше вообще использовать порт 587, который в последних версиях CGPro требует аутентификации. В этом есть двоякий выигрыш: с аутентификацией становится эффективным Sending Flow Control (настройки LOCAL) и не все трояны/вирусы умеют пользоваться 587 портом.
В отсутствии аутентификации полагаться можно только на внешние программы, которые бы отслеживали поток писем, отправленных с одного и того же IP адреса (на From и return-path полагаться бессмысленно), ведя некую базу данных для учета траффика. Некоторые провайдеры, которые предлагают услуги dial-up, в таких случаях прикручивают все это хозяйство к RADIUS, который заведует аутентификацией в dial-up, позволяя таким образом относитm трафик к конкретному клиенту.
Но все это довольно муторно. Идеологически верно использовать аутентификацию для всех отправителей, которые на нее способны. Относительно короткое усилие в административном плане позволит избежать проблем в будущем.
> 3. Неудобно заносить в блэклист клиентские адреса. Чтобы занести один
> адрес, необходимо его удалить из списка клиентских адресов, т.е. создать
> еще один диапазон адресов. Таким образом список разрастается, становится
> нечитабельным.
В последних версиях сервера можно в списки адресов добавлять исключения, вставляя перед адресом или диапазоном знак "!".
-- Best regards, Dmitry Akindinov -- Stalker LabsПолучено Fri Jan 14 12:15:43 2005
Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:15:44 MSK