Re: И снова о спаме

От: Roman Prokhorov <CGatePro_at_mx_ru>
Дата: Sat 23 Jul 2011 - 05:27:52 MSD

Hello,
  Andrew N. Nazarkin on 22.07.2011 16:48 wrote:

> В Птн, 22/07/2011 в 16:21 +0400, Roman Prokhorov пишет: 

>> Hello,
>> Andrew N. Nazarkin on 22.07.2011 13:34 wrote:
>>
>>> Коллеги!
>>> В который раз уже:
>>>
>>> Каких только систем не стоит: и спамасссасин, и яндекс антиспам, и
>>> блеклисты, и серые списки.
>>> Но плевую проблему они до конца не решают.
>>>
>>> Пример:
>>> X-Send-manually: yes
>>> X-Real-To: user@domain.com
>>> Return-Path: <nobody@rogue.magellancommerce.com>
>>> Received: from [10.10.10.10] (HELO mx1.domain2.com) by mx1.domain.com
>>> (CommuniGate Pro SMTP 5.3.11) with ESMTPS id 3452013 for
>>> user@domain.com;
>>> Fri, 22 Jul 2011 13:22:07 +0400
>>> X-ExtScanner: Niversoft's FindAttachments (free)
>>> Received: from [10.10.10.20] (HELO mx3.domain.com) by mx1.domain2.com
>>> (CommuniGate Pro SMTP 5.3.11) with ESMTP id 1344592 for
>>> user@domain2.com; Fri,
>>> 22 Jul 2011 13:22:06 +0400
>>> X-Spam-Status: No, hits=5.1 required=7.0
>>> X-Spam-Level: xxxxx
>>> X-Junk-Score: 0 []
>>> X-Cloudmark-Score: 0 []
>>> Received: from rogue.magellancommerce.com ([208.97.52.14] verified) by
>>> mx3.domain.com (CommuniGate Pro SMTP 5.4.0) with ESMTPS id 1200229 for
>>> user@domain2.com; Fri, 22 Jul 2011 13:22:06 +0400
>>> Received-SPF: none receiver=mx3.domain.com; client-ip=208.97.52.14;
>>> envelope-from=nobody@rogue.magellancommerce.com
>>> Received: from nobody by rogue.magellancommerce.com with local (Exim
>>> 4.69)
>>> (envelope-from <nobody@rogue.magellancommerce.com>) id 1QkBuX-00044r-MM
>>> for
>>> user@domain2.com; Fri, 22 Jul 2011 03:20:45 -0600
>>> To: user@domain2.com
>>> Subject: яркие молодые парни и девушки ждут тебя
>>> From: dayyana@yandex.ru
>>> Content-type: text/plain; charset=windows-1251
>>> Message-Id: <E1QkBuX-00044r-MM@rogue.magellancommerce.com>
>>> Date: Fri, 22 Jul 2011 03:20:45 -0600
>>> X-AntiAbuse: This header was added to track abuse, please include it
>>> with
>>> any abuse report
>>> X-AntiAbuse: Primary Hostname - rogue.magellancommerce.com
>>> X-AntiAbuse: Original Domain - domain2.com
>>> X-AntiAbuse: Originator/Caller UID/GID - [99 99] / [47 12]
>>> X-AntiAbuse: Sender Address Domain - rogue.magellancommerce.com
>>> Mime-Version: 1.0
>>>
>>> Пример не очень удачный, тут показан, извините, вход через задний
>>> проход. Письмо получил самый большой MX,
>> После этого про блеклисты и всё прочее можно забыть, т.к. теперь
>> источник письма - это тот самый MX. Который "trusted" и с него письма
>> не проверяются.
> 
> Это понятно.
> 

>> > направив его в домен, в котором
>>> указан переадресатор на другой домен, в котором, собственно и находится
>>> получатель. Потому такой длинный хидер.
>>>
>>> Но суть не в этом!
>>>
>>> ПОЧЕМУ?!! Почему, до сих пор, в CGP нет механизма проверки, откуда на
>>> самом деле идет письмо??? Почему проверяется ТОЛЬКО поле From ?
>>> А там указан "невинный" yandex.ru!
>>> Хотя большими квадратными английскими буквами везде написано:
>>> nobody@rogue.magellancommerce.com !
>> Вы что-то путаете - From не проверяется, и его вообще может не быть.
>>
>> Провеяется Return-path - если оно включено, плюс есди включены
>> "Reverse-Connect" и "Check SPF records"
>> <http://www.communigate.com/CommuniGatePro/SMTP.html#Receive>
>>
>> Только в вашем случае это делать смысла уже нет, это надо было делать на
>> том самом "самом большом MX".
> 
> На этом самом "самом большом MX" стоят все те же проверки.
> 

>> И вообще нет смысла иметь MX-ы - ваш сервер часто и надолго останавливается?
>
> Нечасто и ненадолго, но 27х7 начальству вынь да положь. Поскольку

Расскажите им про преймущества кластеров :-)

> достаточно грамотных специалистов нет и не придвидится, приходится
> подстраховывать самого себя.
> 

>>
>>> Прям хоть пиши "костыль", где будут сверяться поля From и, к примеру,
>>> envelope-from :(
>> Пишите. Только учтите, что их несовпадение - это нормальная ситуация, и
>> будете отсеивать много обычных писем.
>>
>>
> Почему? Пожалуйста, объясните, в каких случаях бывают такие > несовпадения?

1) В компании у юзеров официальный адрес вида user@company.com, но company.com не имеет А-записи, а только MX, а реальный адрес юзера (и соответственно Return-Path) имеет вид user@mail.company.com

2) В компании зашареный экаунт, например "sales", с которого пишут несколько человек. Нужно чтобы ответы внешних пользователей шли обратно в sales, но отлупы - конкретному человеку.

3) Мейлинг лист.

> P.S. просто в последнее время спамеры избрали новую тактику: шлют письма
> из Зимбабве, подставляя в поле From известные российские бесплатные
> почтовики: mail.ru, yandex.ru и т.п.
> Во всех остальных служебных полях честно подставляются "зимбабвийские"
> записи, проходящие, в том числе и "Reverse-Connect" и "Check SPF
> records" - они, кстати, на "самом большом MX" оба в состоянии
> "включено".

Это изобрели давным-давно, но возможно, что только недавно стали использовать в спаме для русских. А раньше было hotmail.com и т.п.

-- 
Roman
Получено Sat Jul 23 01:28:04 2011

Этот архив был сгенерирован hypermail 2.1.8 : Sat 23 Jul 2011 - 08:16:45 MSD