Wojciech Puchar <w...@w...tensor.gdynia.pl> wrote:
> >>> Więc sądzę, że urażone masz ambicje bo w oczach Twojego klienta nie
> >> A ja sądze, że zamiast przeanalizować moje argumenty chcesz po prostu
> >
> > Ale jakie są te Twoje argumenty? Bo ja na razie nie widzę żadnych, poza
> > tym że niektórym leniom nie chciało się czytać i potem musieli wykonać jeden
> > telefon...
>
> Skoro nie jesteś w stanie zauważyć nawet moich argumentów to tylko dlatego
> że nie chcesz. Nie będe 20 razy pisał tego samego.

Bo nie masz żadnych argumentów. Na razie widać WP vs. reszta świata, z czego
jedyny posiadany przez ciebie argument to "Bo tak!!!111". Z kolegą nawet
sobie tak żartowaliśmy, że musisz mieć jakiś spory spam-botnet pod sobą,
skoro czujesz się taki pokrzywdzony.

> > Więc zrobiłeś głupią robotę, bo zamiast dzwonić do TPSA w celu zdjęcia
> > blokady trzeba było poinformować klientów o tym jak należy zmienić
> > konfigurację programu pocztowego.
>
> A ja CHCE aby moi klienci komunikowali się z moim serwerem przez port 25.
> Bo tak MAM OCHOTĘ, i mam do tego prawo skoro klient jest zadowolony.
> Przez 3 dni tymczasowo uruchomiłem port 587, co wyłączyłem po rozwiązaniu
> problemu.

Jeszcze sobie openrelay-a zrób, a co!

Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO581 (Network Solutions)

do góry

Dnia Sun, 6 Dec 2009 13:08:16 +0000 (UTC), Jacek Osiecki napisał(a):

> Dnia Sun, 6 Dec 2009 10:45:43 +0100, Sylwester Zarębski napisał(a):
>> Dnia Sat, 5 Dec 2009 23:24:52 +0000 (UTC), Jacek Osiecki napisał(a):
>>> Przepraszam - gdzie obrażam? Chyba logiczne jest, że jeśli jakaś usługa
>>> przestaje mi działać to się zgłaszam do dostawcy tej usługi...
>> "Skąd Ci biedni ludzie mają wiedzieć?" - cytat
> Wystarczy że nie będą ignorowali zawiadomień od swojego operatora poczty /
> internetu.

Dla Ciebie to ignorowanie, dla mnie niezrozumienie przekazu. Jeśli dla
Ciebie to jest to samo, gratuluję. Jesteś większym ignorantem niż oni.

> Ciekawe, że nawet moja babcia potrafiła sobie przekonfigurować konto po tym
> jak dostała informację od dostawcy poczty - elegancko wyjaśnione krok po
> kroku co należy zrobić, screenshoty z popularnych programów. Co innego jak
> operator poczty jest zbyt leniwy by poinformować swoich klientów o możliwych
> utrudnieniach.

Z całym szacunkiem dla Twojej babci, ale to jest circa 0.00% przekroju
społeczeństwa.

> Co technicznego jest w prostym tekście "jeśli wysyłasz pocztę przy użyciu
> programu (np. outlook, thunderbird, the bat! ...) to od 1. grudnia musisz
> zmienić konfigurację programu"?

To, że dla niektórych osób Internet to ikonka na pulpicie.

>>>> Nie, po prostu myślą, że TP popsuła im Internet. Oni nie muszą się znać,
>>>> nie muszą wiedzieć co to jest port 25 czy 587. Kuzyn szwagra ustawił im
>>> Bzzt, wrong. Pierwsze co myślą to "znowu mi zepsuli pocztę" i dzwonią do
>>> providera poczty. A ten im spokojnie w szczegółach wyjaśnia co mają zrobić.
>> Bzzt, wrong. Dzwonią do osoby, która im pocztę konfigurowała z
>> informacją, że 'Internet nie działa'.
> I jeśli ta osoba ma olej w głowie to od razu im powie co mają zmienić w
> programie by zaczęło znowu działać.

Skoro Ty nie masz tyle oleju, by zrozumieć, że ktoś może nie wiedzieć,
to skąd oni mają mieć?

>> która może coś wiedzieć, np. znajomego informatyka. Nikt z nich nie
>> zadzwoni do dostawcy poczty, szczególnie jak cała ich wiedza opiera się
>> na znajomości swojego adresu email.
> Jakoś do mnie dzwonili.

I to dowód na to, że nie dzwonią wcześniej do innych osób?

>>>>> Wybrała jedyne sensowne i realizowalne rozwiązanie.
>>>> Nie jedyne, a co najwyżej łatwe. Jedyna zaleta.
>>> Bzdura. Właśnie to rozwiązanie ma bardzo dużo zalet w porównaniu do
>>> wszelkich innych czynności które operator mógłby podjąc (w dodatku angażując
>>> niepotrzebnie dużo większe środki).
>> Tak, jakich? Podawaj, jestem ciekaw.
> Wszelkie inne, przecież jasno napisałem.

"Wszelkie inne". Rotfl. Gratuluję argumentu.

> Można robić różne dziwne ruchy po
> stronie providera internetowego - wykrywanie nienaturalnie dużego przyrostu
> ilości pakietów wysyłanych na port SMTP, czasowe blokady itp. - ale są one o
> rząd wielkości bardziej skomplikowane i znacznie mniej skuteczne od tego co
> zastosowała TPSA.

Wystarczy reakcja na skrzynkę 'abuse'. Nie trzeba nic więcej.

>> Dla mnie jako administratora serwera poza 'chwilowym' zmniejszeniem
>> ilości spamu nie zmieniło się nic. A w tym tygodniu spadek był tak
>> nieznaczny, że trudno w ogóle mówić, iż to wpływ blokady TP. Zobaczymy
>> za kwartał.
> Nie samą neostradą spamerzy żyją. Do tego niektóre matołki sobie wyłączą
> ograniczenie portu 25 i potem nadal radośnie będą spamować :(

Pisałem o ruchach pozorowanych, prawda?

>> Za to TP przerzuciła na mnie (i innych administratorów serwerów poczty)
>> odpowiedzialność za SPAM, który będzie przechodzić przez mój serwer, gdy
>> tylko boty się dostosują do wymogu: serwer/port+user/email+pass.
> A co, dotąd spamerzy nie mogli tego robić? :>
> To raczej Ty przerzucasz na wszystkich innych problem spamu - "niech sobie
> ten spam lata gdzie chce, mnie to nie obchodzi". Nie potrafisz zrozumieć, że
> twórcom botnetów w ogóle nie będzie się opłacało wykradanie haseł? Już kilka
> razy padł tu argument o greylistingu, którego żaden spamer nie próbuje
> omijać mimo że jest to banalnie proste...

Nie rozumiesz, że się będzie opłacało. Jak już również wspominałem, że
głupoty piszesz o greylistingu, bo ok. 20% botów obchodzi go bez
problemu.

>> Jeśli chodzi o plusy, to do tej chwili można było zrobić sobie regułkę
>> taką jak:
>> if (authorized) pass
>> elseif (ruch do moich userów) sprawdź spam
> I potem jedyne co można robić to tłumaczyć "wie pan, bo to jest tak że albo
> będzie dużo spamu i wszystkie normalne wiadomości, albo mało spamu i czasami
> zginą ważne wiadomości".

A tak będą ginąć, bo 'miał pan kiedyś wirusa, a mi serwer przez to wpadł
w RBLa, więc żadnej poczty Pan nie wyśle przez tydzień'. Gratuluję.
Tak, do RBLa można wpaść przypadkiem, ale jeśli botnety zaczną używać
serwer+user+pass, to w zasadzie nigdy nie wypadnie.

>> else drop // relay
>> Teraz w zasadzie będę musiał robić:
>> dla wszystkich sprawdź spam
> Owszem, tyle że na nieco innych zasadach. W dodatku będzie sporo innych
> przesłanek sugerujących że spamer dorwał się do takiego konta. I, koniec
> końców, jedna blokada konta zablokuje tego spamera.

Tak? A ja sądziłem, że w RBLach są tylko IP. Bez kont pocztowych
nadawcy. Myślisz, że ktoś ze świata będzie patrzyć, że to dokładnie
jedno czy dwa konta ślą spam? Nie, więc nie pisz o innych zasadach, bo
nie ma żadnych 'innych zasad'.

>> Po pierwsze, zwiększy mi to obciążenie serwera, po drugie, będzie sporo
>> false positives od MOICH klientów, na których MI zależy. Jeśli to są
>> plusy, to wyprowadź mnie z błędu.
> Plusy są takie, że przy (załóżmy perfect world) całkowitym odcięciu SMTP dla
> wszystkich enduserów spamerzy będą bez szans. Namierzenie spamera
> wysyłającego z wielu zombiaków przy użyciu jednego konta albo wysyłającego
> setki maili za pomocą danego konta jest dużo prostsze. Nie mówiąc już o tym,
> że można np. zablokować możliwość zestawienia więcej niż jednej sesji SMTP
> dla danego usera - i spamerzy idą gryźć piach, bo wysyłanie wiadomości po
> kolei nijak się im nie opłaca.

Że jak? Zombie będzie słał jak dotąd, tylko przez serwery z kolejnej
bazy z użytkownikami z tej bazy. Spamerom bardziej się opłaca
modyfikacja softu, bo botnet nadal działa i jest aktywny, a nie to co
powinno być wykonane - likwidacja botnetu sztuka po sztuce.
Widzę, że chyba blado rozumiesz działanie botnetu i rozległość zachowań.

>> Dopóki blokada nie była obligatoryjna, mogłem namawiać klientów do
>> stosowania portu submission lub smtps dla ich i mojej wygody.
> No tak, teraz nie masz takiej możliwości. :)

Teraz zamiast wygody dostanę problemy, co najwyżej nie dziś, ale za
jakiś czas. Wątpliwe zwycięstwo.

>>>> bo jakoś operatorzy typu AOL mogą, jak się ich
>>>> przymusi. Tepsy nikt nie dusi, więc ma w nosie.
>>> Tepsę najwyraźniej ktoś przydusił, skoro wykonała ten ruch. I bardzo dobrze
>>> że taki - wolałbyś np. proxowanie ruchu SMTP z wymuszonym greylistingiem? :)
>> Nie, wcale nie dobrze. Wolałbym poważne zajęcie się skrzynką
>> a...@t...pl.
> I co niby by to miało dać? Niby jak spamerom miałoby zaszkodzić ubijanie
> zombies kilka tygodni po tym jak rozpoczęły wysyłkę?

Po tym, że zombie nie znika po jednej wysyłce, a służy latami, jak mu na
to pozwolić. Ubicie w kilka tygodni 10% botnetu Neo to byłby wielki
sukces.

>> P.P.S. Zastanawiam się nad celowością wątku, ja mam swoje zdanie, Ty
>> masz swoje. Ja swoje argumenty przedstawiłem. Przedstaw swoje, ale
>> konkrety proszę.
> Przedstawiłem, czegoś nie zrozumiałeś?

'Wszelkie inne' jak rozumiem? Na tym poziomie nie znajdziemy
porozumienia. Prosiłem o konkrety. Sądzę, że EOT.

--
pozdrawiam
Sylwester Zarębski

Aby wysłać email zmień zbieracz w adresie na sylwek

do góry

Dnia Sun, 6 Dec 2009 13:20:43 +0000 (UTC), Jacek Osiecki napisał(a):

> Dnia Sun, 6 Dec 2009 11:00:03 +0100, Sylwester Zarębski napisał(a):
>> Dnia Sat, 5 Dec 2009 22:47:31 +0000 (UTC), Jacek Osiecki napisał(a):
>>> Jak wyjaśnisz praktyczny brak sieci zombie odpornych na greylisting? Ano
>>> właśnie, nie opłaca się botom uodparniać na greylisting! A Ty sugerujesz
>>> wprowadzenie znacznie bardziej zaawansowanych mechanizmów...
>> Co ty pi....?! Jak się nie opłaca, jak w tej chwili co 5-te połączenie
>> obchodzi mi greylisting?! Robią co najmniej 3 połączenia co kilka minut
>> (nie będę wydłużać czasu blokady do np. pół godziny, by sprawdzić czy
>> więcej).
> U siebie nie zaobserwowałem - przez greylisting przebijają się głównie maile
> wysłane przez różne OR.

Na wielu serwerach mam podobne wyniki. Z krzywą delikatnie rosnącą.

>> Zmiany w botach są dość długotrwałe, bo do tej pory nie było niezbędnej
>> potrzeby, ale nastąpił teraz spory impuls, bo właścicielom botnetów
>> zacznie uciekać całkiem spory kawałek gotówki. Myśl logicznie, gdzie są
>> pieniądze, tam będzie potrzeba zmian.
> I spamerzy będą mieli problem, bo operatorowi serwera pocztowego dużo
> łatwiej będzie rozpoznać że jego nadawca właśnie zaczął rozsyłać spam.
> Oby jak najszybciej taka blokada portu SMTP była wprowadzana przez dużych
> operatorów - nie ma skuteczniejszej broni przeciwko spamerom.

Heh, nie "jego nadawca", lecz ktoś korzystający z jego credentiali. To
znacząca różnica. Zablokowanie konta pocztowego na takiej podstawie jest
mocno problematyczne, szczególnie w przypadku korzystaniu z 99% paneli
hostingowych (czy cPanel lub Plesk mają osobną blokadę SMTP i reszty?
nie wydaje mi się, ale dawno nie używałem). Stosowanie ręcznych działań
ma tę wadę, że działa mocno po fakcie, gdy Twój serwer już dawno jest
uznany za skompromitowany.
Zablokowanie IP nic nie da, bo wiele hostów będzie słać spam przy użyciu
tego konta.
Aby to sensownie rozwiązać będzie trzeba wdrożyć (kupić?) kolejną
analizę statystyczno-heurystyczną zachowań i liczyć się z kolejnym false
positives. I modlić się, żeby sprzęt to pociągnął.

--
pozdrawiam
Sylwester Zarębski

Aby wysłać email zmień zbieracz w adresie na sylwek

do góry

Dnia Sun, 6 Dec 2009 12:17:16 +0000 (UTC), Michal Tyrala napisał(a):

> On Sun, 6 Dec 2009 11:14:35 +0100, Sylwester Zarębski wrote:
>> 2 - ze świata, bo wystawia swój IP na pastwę odbiorców poczty, dla
>> których taki serwer nie będzie się wiele różnić od open-relay (bo
>> mnóstwo jego userów będzie w bazach do kupienia za parę miedziaków).
> Kto sie bedzie rzucal na Twoj serwer, skoro dzis mozna spokojnie
> spamowac przez hotmaila, aol, gmaila i yahoo, etc?

A czemu można spamować przez powyższe (chociaż z gmailem zdaje się nie
jest tak łatwo)? Bo można założyć konto bez większych problemów, można
też ukraść czyjeś dane i je wykorzystać.

> IMO jesli powyzsi nie zrobia ze spamem porzadku (a skoro ichnie abuse
> nie chce otrzymywac raportow, to chwile jeszcze bedzie jak jest), to
> raczej nie licz na ,,boty wykradajace hasla''...

Kwestia skali, jeśli się mylę i TP jest zbyt małym pionkiem, to będę się
bardzo cieszyć, że się myliłem. Jeśli się nie mylę, to nikt z tu
obecnych nie będzie mieć podstaw do radości.

--
pozdrawiam
Sylwester Zarębski

Aby wysłać email zmień zbieracz w adresie na sylwek

do góry

On Sun, 6 Dec 2009 19:17:39 +0100, Sylwester Zarębski wrote:
> >> 2 - ze świata, bo wystawia swój IP na pastwę odbiorców poczty, dla
> >> których taki serwer nie będzie się wiele różnić od open-relay (bo
> >> mnóstwo jego userów będzie w bazach do kupienia za parę miedziaków).
> > Kto sie bedzie rzucal na Twoj serwer, skoro dzis mozna spokojnie
> > spamowac przez hotmaila, aol, gmaila i yahoo, etc?
>
> A czemu można spamować przez powyższe (chociaż z gmailem zdaje się nie
> jest tak łatwo)? Bo można założyć konto bez większych problemów, można

Brawo, juz wiesz czemu nikt nie wylozy paru miedziakow na dane Twoich
userow.

> > IMO jesli powyzsi nie zrobia ze spamem porzadku (a skoro ichnie abuse
> > nie chce otrzymywac raportow, to chwile jeszcze bedzie jak jest), to
> > raczej nie licz na ,,boty wykradajace hasla''...
>
> Kwestia skali, jeśli się mylę i TP jest zbyt małym pionkiem, to będę się
> bardzo cieszyć, że się myliłem. Jeśli się nie mylę, to nikt z tu
> obecnych nie będzie mieć podstaw do radości.

Z tego co widze, wolumen spamu przychodzacy z w/w mocno rosnie, ichnie
abuse ma temat gdzies, wiec po co krasc hasla?
W/w jakos nie ma w RBLach, nikt chyba tez se nie pozwoli na wycinanie
gmaila czy innego hotmaila na jakims wiekszym serwerze pocztowym, bo by
go useria zjadla zywcem.

A to, ze z kradzionymi danymi usera mozna wyslac kilka maili, nie znaczy,
ze bedzie to proceder oplacalny na skale obecnych botnetow.

--
Michał http://kbns.digart.pl/

wiesiu jest spamtrapem. ja jestem kbns

do góry

Dnia Sun, 6 Dec 2009 15:03:02 +0000 (UTC), Jacek Osiecki napisał(a):

> Dnia Sun, 6 Dec 2009 11:50:21 +0100, Sylwester Zarębski napisał(a):
>> Inni operatorzy potrafią zrobić to 'ew.' i czynią to nader skutecznie.
>> To, że TP nie potrafi sobie poradzić z problemem nie jest argumentem, że
>> nie można inaczej. Można, czego dowodzą skuteczne działania innych
>> operatorów.
> Powiedz mi - jakim cudem odcięcie klienta w miesiąc po rozpoczęciu rozsyłki
> spamu ma cokolwiek dać? Chyba że chcesz odcinać klienta na podstawie
> jakiegoś niezweryfikowanego zgłoszenia - jaasne, to jest pikuś w porównaniu
> z takim dramatem jak konieczność ustawienia w programie pocztowym 587
> zamiast 25.

Wierz mi, chłopaki jak ich poprosić przez odpowiedni telefon, potrafią
znaleźć co trzeba w przeciągu godziny, dwóch. Tylko czemu to nie działa
przez skrzynkę abuse, nie rozumiem. Ogólnie rzecz biorąc, weryfikacja
jest możliwa całkiem szybko, tylko wygodniej jest zrzucić na kogoś
robotę, a ja nie lubię jak tym kimś mam być ja.

> Tymczasem TPSA odcięła 100% spamu z neo (pomijając klientów którym jakiś
> leniwy dureń zalecił wyłączenie blokady SMTP). "Definitywnie utracony
> zombie" w ogóle nie boli - bo obok 10 userów którzy po miesiącu dochodzenia
> zostaliby odłączeni od internetu przez TPSA będzie 10tys. takich którzy
> właśnie zaczęli odkrywać internet z neostradą, klikając gdzie popadnie i
> łapiąc wszystkie możliwe syfy.

Myślałem, że ja wieszczę czarną przyszłość, ale Twoja jest czarniejsza,
wręcz demagogiczna.

>> Odcięcie portu 25 dzisiaj daje mi 100% mniej z sieci Neo, jutro daje mi
>> z powrotem całą sieci Neo, której nie mam jak odciąć inaczej niż
>> skomplikowanym (i powolnym) oprogramowaniem antyspamowym, który daje mi
>> mnóstwo false positives (1-2% to dużo, bardzo dużo).
> Czyli wolisz żeby spam nadal swobodnie latał, mówiąc krótko...

Spam nadal lata, czy tego chcę czy nie. Wolę się przed nim zabezpieczyć
w sposób maksymalnie deterministyczny, a nie statystyczno-heurystyczny.
Wystarczy mi, że obecne antyspamy dla poczty przychodzącej potrafią
robić sieczkę, nie chcę by to samo było dla poczty wychodzącej.

>> Właściciel botnetu nadal ma nad nim kontrolę i może wprowadzić zmiany
>> lub pozbawić się zysku. Nie trzeba być prorokiem, by wiedzieć co
>> wybierze.
> Póki będzie się dało wysyłać bezpośrednio od klienta do serwera na SMTP, nie
> będzie się bawił w zmiany. A gdy już zdecydowana większość operatorów zrobi
> tak jak TPSA to wtedy spamerzy będą cieniutko piszczeli.

Uważam, że wtedy administratorzy serwerów będą cieniutko piszczeli.

>> Do tego jak już napisałem, kwestia odpowiedzialności za spam zostaje
>> przerzucona na administratora, co mi się wcale nie podoba.
> Tak jakby teraz spamer nie mógł wysyłać przy użyciu userID.

Mógł, a każda taka blokada przybliża do punktu, gdy będzie *musiał*.

>> A po Received to już chyba nikt nie filtruje (jedynie), po tym jak boty
>> zaczęły fałszować Received?
> Jak najbardziej filtruje, zwłaszcza ze względu na boty które mogą dodać
> Received, ale nie mają wpływu na to co jest doń dopisywane.

Po co filtrować po czymś co z założenia jest niepewne? Może po From i To
też filtrujesz?

> Botnety nie służą tylko do wysyłania spamu. Być może kiedyś przestępcy
> bardziej się skupią na wymuszaniu "okupu" od ofiar które chcą uniknąć
> DDoS - ale to nie jest żaden argument za tym by ułatwiać życie spamerom.

Wycięcie po miesiącu 10% botnetu jest ułatwianiem, proszę Cię, bez
takich...

>> Mylisz się, z oględnych statystyk już ok. 20% połączeń z botnetów
>> obchodzi mi greylisting. Potrzeba matką wynalazków.
> U mnie wyniki są zgoła inne - ale mniejsza o to, niech będzie 20%. Po tylu
> latach od wprowadzenia GL zaledwie 20%? W takim tempie kradzieże haseł to
> zajmą im z 10 lat...

20% wskazuje trend. Blokada portu SMTP również. Kwestia czasu. Jestem
ostrożny w szacunkach więc rok wydaje mi się odpowiednim terminem.

>>>> Co oznacza powyższe? Że zanim administrator serwera się dowie, że ktoś
>>>> wysyła przez niego spam (wystarczy jedno konto i jeden sobotni wieczór),
>>>> już będzie na kilku RBLach. Cofnięcie potrwa tydzień/dwa, paru klientów
>>>> pójdzie sobie do kogoś innego, w sumie nie ma problemu, prawda?
> A, jeszcze tutaj jedno: już widzę klienta beztrosko rezygnującego ze swojego
> adresu email :) Całe szczęście że nikt nie wymyślił czegoś a'la przenoszenie
> numerów w telekomach - wtedy to dopiero byłby raj dla spamerów...

No i tu właśnie jest problem. Dodajmy do tego przywiązanie do swojego
hasła, które będzie ktoś mimochodem ustawi, bo 'łatwiej zapamiętać' i
masz wieczną bazę. Uważam, że odpowiedzialny za kontakt z klientem z
komputerem zombie powinien być operator, a nie właściciel serwera
poczty, nntp, www, czy czegoś jeszcze innego.

>> Uważasz, że prościej będzie Ci wyciąć swojego klienta, który dobrze
>> płaci, czy zgłosić to do abuse providera sieci?
> Łatwiej mi będzie wyłapać to że klient nagle rozsyła 10x więcej wiadomości
> nadając równocześnie z kilku(dziesięciu) adresów IP. A w sumie to wystarczy
> że próbuje nadać dwie wiadomości na raz.

O, tak? Proszę podaj mi przepis na automat. Najlepiej tak, by po drugiej
wiadomości był pewien swego (czyli bez false positives).

>> I to nie będzie jeden/kilka strzałów, ale tyle ilu zarażonych użytkowników
>> mających konta u Ciebie. Z tym, że ci użytkownicy być może wirusa mieli rok
>> temu, a spam zacznie się teraz, więc problem będziesz mieć Ty i Twój klient.
> A niby czemu spam się ma zacząć teraz? Jeśli zacznie się teraz, to znaczy że
> klient TERAZ ma trojana, a nie że miał go rok temu.

Nie, *ktoś* ma trojana, a hasełko klienta zostało przechwycone w bliżej
nieokreślonym czasie.

>> Czy to trzeba tłumaczyć administratorowi, który jak sądzę, powinien mieć
>> spore doświadczenia z obsługą swoich klientów?
> Cały czas zachowujesz się jakbyś uważał że obecnie spamerzy nie mogą robić
> tego o czym piszesz.

Cóż, robią. W ciągu jednej nocy miałem wysyłkę tysięcy spamu z kilku
kont. Jednak się to zdarza od czasu do czasu, dlatego mam świadomość, iż
ruch wykonany przez TP może być przelaną kroplą.

> Jeszcze zrozumiałbym motywację tak lamentujących gdyby równocześnie taki
> ruch wykonało 90% sieci udostępniających internet enduserom. Wierz mi,
> spamerów strzyka to że jakaś TPSA zablokowała port 25.

Mam nadzieję, że 'strzyka'. Logika zaś podpowiada mi, że niekoniecznie.

--
pozdrawiam
Sylwester Zarębski

Aby wysłać email zmień zbieracz w adresie na sylwek

do góry

Dnia Sun, 6 Dec 2009 08:12:45 +0000 (UTC), Wojciech Puchar napisał(a):
>>> ciekwae skąd weźmie hasło moich uzytkowników i jak je wyśłe przez inne
>>> serwery
>> Jak już nauczą się wyciągać hasła z MUA (ponoć niektóre już to robią) to
>> to nie będzie dużym problemem. Ale na razie jest to raczej rzadkość,
>> więc na jakiś czas pomoże. Inna sprawa, że jak przez serwer będzie
>> wysyłany spam z autoryzacją, to łatwo to wykryć i zablokować takie
>> konto.
> Ma Pan w dużej części rację. Nie wydaje się Panu że dyskusja jest nie na temat?

Bynajmniej.

> Sprawa dotyczy ograniczania/zmieniania działania usługi podczas trwania
> umowy terminowej, wymaga od klienta reakcji aby mógł zachować dotychczasowe
> jej warunki, i dodatkowo wprowadza w błąd przez infolinię.

Sprawa dotyczy zastosowania w końcu RFC przez dużego operatora. Wprowadzenia
zmiany, która nikomu nie szkodzi - bez porównania mniej uciążliwej dla
klientów niż np. wprowadzenie greylistingu czy wymaganie SMTP AUTH przez
operatorów pocztowych. Wtedy też grzmiałeś że to skandal by wymagać od
biednych ludzi zaznaczenia jednego checkboxa?

> Dodatkowo wielu jej samozwańczych rzeczników postuje na tej grupie twierdząc
> że to dla dobra wszystkich.

Bo tak właśnie jest.

> To w jaki sposób przyjmuje poczte serwer poczty, jakim portem, od kogo, jak i
dlaczego
> jest sprawą jego właściciela. Tylko i wyłącznie.

Ale to czy działa zgodnie z ogólnie przyjętymi standardami - już nie. Tzn.
tak się może wydawać temu właścicielowi, dopóki się nie zdziwi jak nikt nie
będzie chciał od niego poczty przyjmować.

--
Jacek Osiecki j...@c...pl GG:3828944
I don't want something I need. I want something I want.

do góry

Dnia Sun, 6 Dec 2009 18:46:34 +0000 (UTC), Michal Tyrala napisał(a):

> Brawo, juz wiesz czemu nikt nie wylozy paru miedziakow na dane Twoich
> userow.

Już wykładają, tylko nie wyciągane z MUA. Jeszcze nie.

>> Kwestia skali, jeśli się mylę i TP jest zbyt małym pionkiem, to będę się
>> bardzo cieszyć, że się myliłem. Jeśli się nie mylę, to nikt z tu
>> obecnych nie będzie mieć podstaw do radości.
> Z tego co widze, wolumen spamu przychodzacy z w/w mocno rosnie, ichnie
> abuse ma temat gdzies, wiec po co krasc hasla?
> W/w jakos nie ma w RBLach, nikt chyba tez se nie pozwoli na wycinanie
> gmaila czy innego hotmaila na jakims wiekszym serwerze pocztowym, bo by
> go useria zjadla zywcem.

O, właśnie, i tym sposobem małe serwery pocztowe znikną, bo zostaną
pogrzebane w RBLach. A spam jak będzie, tak będzie. Gdzie tu zysk?

> A to, ze z kradzionymi danymi usera mozna wyslac kilka maili, nie znaczy,
> ze bedzie to proceder oplacalny na skale obecnych botnetow.

Wiesz, jeśli botnetom opłaca się skanować SMTP AUTH, POP3 i IMAP w celu
uzyskania konta+hasełka (chociaż wiedzą, że pierwszy lepszy 'reaktor'
będzie dropować po 2-3 błędnych próbach, a i tak jadą w kółko), to stoję
mocno na stanowisku, że dodanie do trojanka wyciągania loginu/hasła z
programu będzie małym pikusiem.

Uważam, że EOT, bo w tej chwili sprowadza się do tego, co który z nas
uważa jak będzie. :)

--
pozdrawiam
Sylwester Zarębski

Aby wysłać email zmień zbieracz w adresie na sylwek

do góry

Dnia Sun, 6 Dec 2009 19:11:24 +0100, Sylwester Zarębski napisał(a):
> Dnia Sun, 6 Dec 2009 13:20:43 +0000 (UTC), Jacek Osiecki napisał(a):
>>> Co ty pi....?! Jak się nie opłaca, jak w tej chwili co 5-te połączenie
>>> obchodzi mi greylisting?! Robią co najmniej 3 połączenia co kilka minut
>>> (nie będę wydłużać czasu blokady do np. pół godziny, by sprawdzić czy
>>> więcej).
>> U siebie nie zaobserwowałem - przez greylisting przebijają się głównie maile
>> wysłane przez różne OR.
> Na wielu serwerach mam podobne wyniki. Z krzywą delikatnie rosnącą.

No OK, widocznie do mnie inne botnety pisują ;) Nie zmienia to faktu, że
nadal przeważająca większość botnetów nie potrafi sobie poradzić z GL mimo
że jego obejście jest banalnie proste.

>> I spamerzy będą mieli problem, bo operatorowi serwera pocztowego dużo
>> łatwiej będzie rozpoznać że jego nadawca właśnie zaczął rozsyłać spam.
>> Oby jak najszybciej taka blokada portu SMTP była wprowadzana przez dużych
>> operatorów - nie ma skuteczniejszej broni przeciwko spamerom.

> Heh, nie "jego nadawca", lecz ktoś korzystający z jego credentiali. To

To oczywiste.

> znacząca różnica. Zablokowanie konta pocztowego na takiej podstawie jest
> mocno problematyczne, szczególnie w przypadku korzystaniu z 99% paneli
> hostingowych (czy cPanel lub Plesk mają osobną blokadę SMTP i reszty?
> nie wydaje mi się, ale dawno nie używałem). Stosowanie ręcznych działań
> ma tę wadę, że działa mocno po fakcie, gdy Twój serwer już dawno jest
> uznany za skompromitowany.

A czemu ręcznych? Wystarczy jeśli nie będzie się dało zestawić równocześnie
dwóch sesji SMTP przy użyciu jednego konta + automatyczne blokowanie gdy
zostanie wysłanych w jednej sesji więcej niż X wiadomości. Z natychmiastowym
zresztą poinformowaniem mailowym klienta że jest podejrzany o spamowanie i
żeby kontynuować - ma kliknąć w dany link i przepisać captcha.

> Zablokowanie IP nic nie da, bo wiele hostów będzie słać spam przy użyciu
> tego konta.

Mowa o zablokowaniu konta gdy równocześnie się za jego pomocą wysyła maile
z więcej niż jednego adresu.

> Aby to sensownie rozwiązać będzie trzeba wdrożyć (kupić?) kolejną
> analizę statystyczno-heurystyczną zachowań i liczyć się z kolejnym false
> positives. I modlić się, żeby sprzęt to pociągnął.

W "perfect world", gdzie pozostają już tylko botnety wysyłające przez
submission, maszyny będą miały znacznie mniej spamu do obrobienia :)

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
I don't want something I need. I want something I want.

do góry

On Sun, 6 Dec 2009 20:00:04 +0100, Sylwester Zarębski wrote:
> > W/w jakos nie ma w RBLach, nikt chyba tez se nie pozwoli na wycinanie
> > gmaila czy innego hotmaila na jakims wiekszym serwerze pocztowym, bo by
> > go useria zjadla zywcem.
>
> O, właśnie, i tym sposobem małe serwery pocztowe znikną, bo zostaną
> pogrzebane w RBLach.

Dziwny wniosek...

Botnet na MSA i kradzionych danych wywrozyles na za kwartal, to powyzsze kiedy
ma nastapic? :-)
--
Michał http://kbns.digart.pl/

wiesiu jest spamtrapem. ja jestem kbns

do góry