Precedente :: Successivo |
Autore |
Messaggio |
Fabio Ferrero Ospite
|
Inviato: Mar 08 Mag 2007 12:08 Oggetto: Crollo dello spam |
|
|
On 08/mag/07, at 12:49, m@xxxxxx.xyz wrote:
Citazione: | confermo ! ma solo in un caso ... ho rifatto pavis, etchizzandolo, e
ripartendo da zero per quanto riguarda i filtri di spamassassin, tra
l'altro un po' dubitante se fosse una buona idea, e tra pyzor /
razor /
le solite blacklist, adesso (ma lo dico piano ...) la faccenda e`
gestibile ... diciamo 4-5 mail di spam, e una trentina che
finiscono nel
folder SPAM, senza alcun falso positivo, per ora
|
Io ho la sensazione che tutti i bayesiani, chi prima, chi dopo,
degradano piano piano fino a diventare non dico inutili ma quasi...
Ho provato 2 o 3 programmi diversi e ho sempre riscontrato questa
cosa, che magari avviene quando gli spammers cambiano "sistema" di
invio o tipo di messaggio, non so.
Ho di recente cambiato piattaforma e client di mail e al momento il
filtro antispam funziona abbastanza bene, pero' chi lo usa da molto
e' meno contento...
Forse "arando" periodicamente i db e re-istruendo da zero i
bayesiani, la cosa migliora.
_________________
Fabio "Nutella" Ferrero
--------------------------------------------
Internet Images srl || http://www.interim.it
email: ferrero@xxxxxx.xyz || info@xxxxxx.xyz
Tel://051.627.26.79 |||| Fax://051.376.41.07 |
|
Top |
|
|
ap
Registrato: 07/05/07 14:55 Messaggi: 197 Residenza: Bologna
|
|
Top |
|
|
tannoiser
Registrato: 02/04/07 10:06 Messaggi: 621
|
Inviato: Mar 08 Mag 2007 12:17 Oggetto: Crollo dello spam |
|
|
* martedì 08 maggio 2007, alle 12:55, Fabio Muzzi scrive:
Citazione: | Citazione: | Come ho scritto, (pero` leggi anche, per favore) ISP wide non e`
applicabile, l'overhead e` enorme.
|
Tu mi dicevi che rompo il protocollo, questo non e` vero.
|
Ho scritto che _O_ rompi il protocollo (se vuoi limitare l'overhead e
farlo a conn time), _O_ hai overhead ingestibile.
E puo` darsi che lo rompi a prescindere:
- che risposta dai? 4xx o 5xx?
- come ti comporti se mx e` unreachable?
- provi tutti gli mx? Se si lo sai che verosimilmente mx secondario
accetta posta a prescindere?
ecc.
Citazione: | Che invece generi un carico non gestibile, questo e` vero (o puo` essere
vero, dipende dalla struttura).
Pero` sinceramente, siccome meta` della mail e` spam, e sono tutte mail
con immagini, avrei qualche dubbio sul fatto che il controllo dei mittenti
"mangi" piu` risorse (banda, cpu) rispetto alla ricezione di tutto quello
spam con immagini, e al suo conseguente reinvio in pop3 al cliente.
|
Tu hai i dubbi, e un punto di vista client size. Io ho i server, e un
punto di vista ISP size. Non e` che non le facciamo queste prove, eh.
Mi perdonerai se preferisco dare credito ai fatti, che non ai dubbi. ;)
La dimostrazione e` evidente: il tuo campione e` prevalentemente di
spam-immagini. I miei campioni prevalenti sono altri[1].
Se non si usa il controllo sul mittente c'e` un motivo. Te l'ho
spiegato. Se poi "hai i dubbi" che ti devo dire. Amen.[2]
[1]
Questo perche`, essendo tanti domini/clienti diversi, hanno utilizzo
della rete profondamente diversificato, e punti di reclutamento degli
indirizzi i piu` vari. Lo spam verso uno stesso dominio,
tendenzialmente, tende a essere abbastanza sempre lo stesso. Ci sono
numeri altissimi di spam di certi tipi, che non hai mai ricevuto (meglio
cosi eh!).
Keyword: tende. Stiamo parlando di trend, non di assoluti. Il pensare
che tutto lo spam che circola sia 1a1 con lo spam che ricevi, e`
profondamente sbagliato (vale per tutti me compreso ovviamente).
[2]
Ti ho detto che sul tuo server / server del cliente puoi permetterti
delle cose che altrove non puoi. Cosa c'e` di straordinario in questo?
Io, sul mio server, blacklist tutta l'asia... Che poi questo possa
applicarlo a $provider ovviamente, non e` pensabile. E quindi non lo
posso considerare un "buon metodo" perche` non lo e` sempre. Pero` per
me va bene, non ho relazioni con la korea, blacklisto tutto (per dire).
_________________
Maurizio - Tannoiser - Lemmo
Founder Member of ERLUG http://erlug.linux.it
-------------------------------------------------------------------------------
"What do you mean, you've never been to Alpha Centauri? For heaven's sake,
mankind, it's only four light-years away, you know." - HHGG |
|
Top |
|
|
Sythos Ospite
|
Inviato: Mar 08 Mag 2007 12:29 Oggetto: Crollo dello spam |
|
|
On Tue, May 08, 2007 at 12:29:15PM +0200, Andrea Paolini wrote:
Citazione: | Però ho voluto provare, e ho installato sulla macchina di casa
postgrey ad inizio aprile (in aggiunta ai check su sbl-
xbl.spamhaus.org e dul.dnsbl.sorbs.net).
Spam ricevuto fin ora: zero (contro 2-300 reject al giorno). Sono
impressionato.
|
T'e' andata di gran culo, a me una ventina al giorno passa comunque
(punteggio SA altissimo drop automatico, punteggio basso solo tag spam,
per "passa" intendo che non l'ha fermata ne' riconosciuta nessuno e mi
e' arrivata in inbox)
Citazione: | Citazione: | L'idea che sia difficile scrivere un programma di mass-spam che faccia
un secondo tentativo, e` vero solo in questo momento.
| Copiaincollando da una mail che scrivevo all'epoca riguardo al
greylisting: <<è l'ennesimo accrocchio che - penso -funzionerà per un
po', fino a quando gli spammer installeranno nelle spamnet un engine
che onora i 4xx. E' una modifica relativamente banale.>>
|
Ma, in tutta sincerita', chi usa numericamente o in % un sistema di
greylist?
_________________
Sythos - http://www.sythos.net
() ASCII Ribbon Campaign - against html/rtf/vCard in mail
/\ - against M$ attachments |
|
Top |
|
|
Fabio Ferrero Ospite
|
Inviato: Mar 08 Mag 2007 12:55 Oggetto: Crollo dello spam |
|
|
On 08/mag/07, at 12:59, Fabio Muzzi wrote:
Citazione: | Citazione: | Io ho un alias automatico creato come nomeutente-ggmmyyyy@dominio che
vale solo il giorno specifico e puo' essere comodo in questi casi.
Sempre se l'utente e' abbastanza "furbo" da usarlo...
| A proposito di questo, secondo me dovremmo modificare la
configurazione in
modo che l'auto-daily-alias sia di fatto un destinatario
whitelistato,
proprio perche` il suo uso e` quello di ricevere mail
automatiche, che
magari hanno mittenti inesistenti.
|
A proposito di verify...
Una certa percentuale di spam proviene da indirizzi palesemente
errati (tipo: 6f.@o5), non avrebbe senso anche un check mediare
regex? In questi casi si puo' risparmiare il callout...
Ciao.
_________________
Fabio "Nutella" Ferrero
--------------------------------------------
Internet Images srl || http://www.interim.it
email: ferrero@xxxxxx.xyz || info@xxxxxx.xyz
Tel://051.627.26.79 |||| Fax://051.376.41.07 |
|
Top |
|
|
ap
Registrato: 07/05/07 14:55 Messaggi: 197 Residenza: Bologna
|
Inviato: Mar 08 Mag 2007 12:59 Oggetto: Crollo dello spam |
|
|
On 8 May 2007, at 12:40, Fabio Muzzi wrote:
Citazione: | Citazione: | Citazione: | Nessuno usa il controllo dei mittenti?
|
|
Citazione: | Ha quasi lo stesso problema del postgrey. Fa delle assunzioni
assolute
che non lo sono (tipo sull'architettura di posta del mittente), e
tendenzialmente rompe un protocollo per tentare di fermare un abuso.
|
non sono d'accordo.
il controllo del mittente aumenta il carico, ma non rompe nulla.
|
Beh, dai, le palle un po' le rompe... :-)
Quello che succede usando la la callback verification è che si
implementa una macchina a stati differente a quanto specificato.
Rompe la RFC2821 ? Bella domanda.
Altre considerazioni che mi vengono da fare sono:
- Sono solo io che sento una gran puzza di deadlock (superabile con
qualche timer, per carità, ma sempre deadlock)
- Buona parte (quasi tutti?) gli spam falsificano il mittente
usandone uno esistente di una terza parte innocente. Che efficacia ha
verificarne l'esistenza?
Ciao,
- ap_______________________________________________
Erlug mailing list
Erlug@xxxxxx.xyz
http://erlug.linux.it/cgi-bin/mailman/listinfo/erlug
-----------------------------------------------------------
ErLUG webzine: http://erlug.linux.it
Manuali FDL:
LinuxFacile - http://www.linuxfacile.org
Linux Da Zero - http://erlug.linux.it/linuxdazero/
Connettivita' offerta da Ehiweb.it - http://www.ehiweb.it/
----------------------------------------------------------- |
|
Top |
|
|
Fabio Ferrero Ospite
|
Inviato: Mar 08 Mag 2007 13:08 Oggetto: Crollo dello spam |
|
|
On 08/mag/07, at 13:59, Andrea Paolini wrote:
Citazione: | Citazione: | Citazione: | Citazione: | Nessuno usa il controllo dei mittenti?
|
|
| - Buona parte (quasi tutti?) gli spam falsificano il mittente
usandone uno esistente di una terza parte innocente. Che efficacia
ha verificarne l'esistenza?
|
Sulla solita statistica della mutua... su un mail server con un solo
dominio, nei log di ieri, 257 messaggi rejected dei quali 59 per
mittente non verificato...
Ciao.
_________________
Fabio "Nutella" Ferrero
--------------------------------------------
Internet Images srl || http://www.interim.it
email: ferrero@xxxxxx.xyz || info@xxxxxx.xyz
Tel://051.627.26.79 |||| Fax://051.376.41.07 |
|
Top |
|
|
tannoiser
Registrato: 02/04/07 10:06 Messaggi: 621
|
Inviato: Mar 08 Mag 2007 13:13 Oggetto: Crollo dello spam |
|
|
* martedì 08 maggio 2007, alle 13:55, Fabio Ferrero scrive:
Citazione: | A proposito di verify...
Una certa percentuale di spam proviene da indirizzi palesemente
errati (tipo: 6f.@o5), non avrebbe senso anche un check mediare
regex? In questi casi si puo' risparmiare il callout...
|
In postfix, c'e` l'apposito reject_non_fqdn_sender e
reject_unknown_sender_domain. Suppongo che in exim ci sia qualcosa di
analogo.
_________________
Maurizio - Tannoiser - Lemmo
Founder Member of ERLUG http://erlug.linux.it
-------------------------------------------------------------------------------
BOFH excuse #378:
Operators killed by year 2000 bug bite. |
|
Top |
|
|
ap
Registrato: 07/05/07 14:55 Messaggi: 197 Residenza: Bologna
|
Inviato: Mar 08 Mag 2007 13:22 Oggetto: Crollo dello spam |
|
|
On 8 May 2007, at 12:39, Fabio Ferrero wrote:
Citazione: | Io ho un alias automatico creato come nomeutente-ggmmyyyy@dominio
che vale solo il giorno specifico e puo' essere comodo in questi
casi. Sempre se l'utente e' abbastanza "furbo" da usarlo...
|
La prima incarnazione dell'idea - che io sappia - è di Todd A.
Jacobs. Parliamo del 2001, ed era saltata fuori nelle mailing list di
qmail. http://www2.codegnome.org:59321/scripting/showscript.php?
script=qacct.sh
Ho usato la generazione automatica di email a scadenza quando postavo
su Usenet, vale a dire MOLTO tempo fa, ed ha funzionato egregiamente
nel tenermi fuori da un bel po' di ML di spam. Invece degli alias
usavo gli extension address.
Adesso non Usenetto più e ho smontato tutto il maccherone, ma penso
sia ancora utile - per che ha il proprio server - attivare gli
extension address (magari usando il "-" e non il "+").
In questo modo, se ci si deve registrare su www.example.com (e non si
può o non si vuole usare mailinator, bugmenot o simili) invece di
tiziocaio@xxxxxx.xyz si può usare tiziocaio-examplecom@xxxxxx.xyz
Vantaggi:
1) Nessuna bega nella configurazione (si configura l'MTA per
accettare posta per tiziocaio-*@miodominio.it una volta per tutte e
non si tocca più niente)
2) Se uno dei sotto-indirizzi finisce in qualche lista di spammer
(per disgrazia o perché viene venduto) è semplice metterlo in
blacklist *E* sapere dove era stato usato.
My 0.2?,
- ap |
|
Top |
|
|
Davide Alberani
Registrato: 04/04/07 08:47 Messaggi: 953
|
Inviato: Mar 08 Mag 2007 14:37 Oggetto: fortunes-spam 1.5 [WAS: Crollo dello spam] |
|
|
On May 08, Davide Bolcioni <db_erlug@xxxxxx.xyz> wrote:
Citazione: | ho l'impressione che da una o due settimane ci sia stato un crollo
verticale nella quantità di spam
|
Spero ben di no! E poi io come faccio? <g>
Ovvero: e` fuori la nuova versione:
http://erlug.linux.it/~da/soft/fortunes-spam/
Younng Girl so trump and autoerotic!
_________________
Davide Alberani <da@xxxxxx.xyz> [PGP KeyID: 0x465BFD47]
http://erlug.linux.it/~da/ |
|
Top |
|
|
Davide Alberani
Registrato: 04/04/07 08:47 Messaggi: 953
|
|
Top |
|
|
Fabio Muzzi Ospite
|
Inviato: Mar 08 Mag 2007 15:37 Oggetto: Crollo dello spam |
|
|
Hello Maurizio,
Tuesday, May 8, 2007, 1:17:22 PM, you wrote:
Citazione: | Citazione: | Tu mi dicevi che rompo il protocollo, questo non e` vero.
|
|
Citazione: | Ho scritto che _O_ rompi il protocollo (se vuoi limitare l'overhead e
farlo a conn time), _O_ hai overhead ingestibile.
|
Perche` mi dici che farlo in realtime rompe il protocollo? a me continua a
non sembrare. Rallenta, si`. Puo` fallire e dare falsi positivi o
negativi? Si`, e` possibile. Ma rompe il protocollo, direi di no. per il
tuo smtp che chiama il mio, e` tutto normale. Per il tuo mx che viene
chiamato dal mio, ti sto mandando una mail e poi cambio idea e quitto.
Citazione: | - che risposta dai? 4xx o 5xx?
- come ti comporti se mx e` unreachable?
- provi tutti gli mx? Se si lo sai che verosimilmente mx secondario
accetta posta a prescindere?
|
Ora non ricordo, perche` l'ho fatto tempo fa, pero` all'epoca ci ho
pensato parecchio. Io tiro al primario, se questo non risponde in X
secondi (5 mi pare) vado in timeout e accetto lo stesso.
Se questo accetta qualsiasi cosa, ovviamente io mi trovo ad accettare
comunque.
Citazione: | Tu hai i dubbi, e un punto di vista client size. Io ho i server, e un
punto di vista ISP size. Non e` che non le facciamo queste prove, eh.
|
Citazione: | Mi perdonerai se preferisco dare credito ai fatti, che non ai dubbi. ;)
|
Ti perdonero`.
Io come ISP non implementerei mai un antispam "a priori", ma un sistema
che metto al singolo cliente SE LO VUOLE, con un grosso disclaimer che
potrebbe perdere posta buona.
Tanto purtroppo qualsiasi sistema (bayesiano, rbl, check del mittente,
ecc) ha dei potenziali drawback anche gravi, come la perdita di messaggi,
e questo al cliente deve essere chiaro, e il cliente deve poter scegliere
di NON avere alcun antispam.
_________________
Fabio "Kurgan" Muzzi
La diagnosi del tecnico:
Stress tettonico |
|
Top |
|
|
Fabio Muzzi Ospite
|
Inviato: Mar 08 Mag 2007 15:39 Oggetto: Crollo dello spam |
|
|
Hello Andrea,
Tuesday, May 8, 2007, 1:59:30 PM, you wrote:
Citazione: | Quello che succede usando la la callback verification è che si
implementa una macchina a stati differente a quanto specificato.
Rompe la RFC2821 ? Bella domanda.
|
Secondo me, dal punto di vista del server remoto, non rompe nulla. la
sessione smtp va avanti secondo lo standard.
Citazione: | - Sono solo io che sento una gran puzza di deadlock (superabile con
qualche timer, per carità, ma sempre deadlock)
|
Secondo me si`. non ci sono deadlock possibili, al limite c'e` un rifiuto
di una mail "buona", ma nulla di piu` disastroso.
Citazione: | - Buona parte (quasi tutti?) gli spam falsificano il mittente
usandone uno esistente di una terza parte innocente. Che efficacia ha
verificarne l'esistenza?
|
Secondo me questo non e` vero. Sono pochi gli spam che lo fanno, almeno
nel mio campione, e poi c'e` un effetto secondario che mitiga l'efficacia
di quelli che lo fanno: la mailbox del malcapitato "mittente finto" si
satura subito e quindi non accetta piu` posta, ergo, il mio sistema
considera l'indirizzo non valido.
_________________
Fabio "Kurgan" Muzzi
La diagnosi del tecnico:
Il monitor e` collegato alla porta seriale |
|
Top |
|
|
tannoiser
Registrato: 02/04/07 10:06 Messaggi: 621
|
Inviato: Mar 08 Mag 2007 15:53 Oggetto: Crollo dello spam |
|
|
* martedì 08 maggio 2007, alle 16:37, Fabio Muzzi scrive:
Citazione: | Io come ISP non implementerei mai un antispam "a priori", ma un sistema
che metto al singolo cliente SE LO VUOLE, con un grosso disclaimer che
potrebbe perdere posta buona.
Tanto purtroppo qualsiasi sistema (bayesiano, rbl, check del mittente,
ecc) ha dei potenziali drawback anche gravi, come la perdita di messaggi,
e questo al cliente deve essere chiaro, e il cliente deve poter scegliere
di NON avere alcun antispam.
|
Non ci crederai: lo faccio. Ovvero. I miei setup lo prevedono. E lo
suggerisco esplicitamente. Poi, che $ISP_Cliente lo faccia, dipende da
caso a caso, ma tendenzialmente, lo facciamo.
Anche se, in termini di gestione, c'e` molta differenza tra un reject e
un silent delete. Il primo (purche` corretto), personalmente, e`
preferibile - il secondo vanifica alcuni principi base dell'smtp, ovvero
che "se non ti torna nulla la posta e` stata consegnata". Purtroppo,
pure li, si fa una tara, specie in questi ultimi anni.
_________________
Maurizio - Tannoiser - Lemmo
Founder Member of ERLUG http://erlug.linux.it
-------------------------------------------------------------------------------
No no, ci sta tutto in macchina da me.
-- cena linuxmeeting 2002 |
|
Top |
|
|
Salvatore di Maggio Ospite
|
Inviato: Mar 08 Mag 2007 16:49 Oggetto: Crollo dello spam |
|
|
In data Tue, 8 May 2007 11:19:49 +0200 Maurizio Lemmo - Tannoiser
<tannoiser@xxxxxx.xyz> ha scritto:
Citazione: | * martedì 08 maggio 2007, alle 11:05, Davide Bolcioni scrive:
Citazione: | ho l'impressione che da una o due settimane ci sia stato un crollo
verticale nella quantità di spam che ricevo, non compensato da una
crescita del phishing su poste.it che pure c'è stata. Non ho
statistiche sottomano, ma la sensazione è di una riduzione di oltre
il 50%. Conferme o smentite ?
|
Smentite. ;)
|
mi associo :(
Tit. |
|
Top |
|
|
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|