Indice del forum Emilia Romagna Linux Users Group
i forum di ERLUG
torna alla home page di ERLUG
 
 Forum SubscriptionsForum Subscriptions   FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

Crollo dello spam
Vai a Precedente  1, 2, 3, 4, 5  Successivo
 
Nuovo argomento   Rispondi    Indice del forum -> ERLUG
Precedente :: Successivo  
Autore Messaggio
Fabio Ferrero
Ospite





MessaggioInviato: Mar 08 Mag 2007 12:08    Oggetto: Crollo dello spam Rispondi citando

On 08/mag/07, at 12:49, m@xxxxxx.xyz wrote:
Citazione:
confermo ! ma solo in un caso ... ho rifatto pavis, etchizzandolo, e
ripartendo da zero per quanto riguarda i filtri di spamassassin, tra
l'altro un po' dubitante se fosse una buona idea, e tra pyzor /
razor /
le solite blacklist, adesso (ma lo dico piano ...) la faccenda e`
gestibile ... diciamo 4-5 mail di spam, e una trentina che
finiscono nel
folder SPAM, senza alcun falso positivo, per ora

Io ho la sensazione che tutti i bayesiani, chi prima, chi dopo,
degradano piano piano fino a diventare non dico inutili ma quasi...

Ho provato 2 o 3 programmi diversi e ho sempre riscontrato questa
cosa, che magari avviene quando gli spammers cambiano "sistema" di
invio o tipo di messaggio, non so.

Ho di recente cambiato piattaforma e client di mail e al momento il
filtro antispam funziona abbastanza bene, pero' chi lo usa da molto
e' meno contento...

Forse "arando" periodicamente i db e re-istruendo da zero i
bayesiani, la cosa migliora.

_________________
Fabio "Nutella" Ferrero
--------------------------------------------
Internet Images srl || http://www.interim.it
email: ferrero@xxxxxx.xyz || info@xxxxxx.xyz
Tel://051.627.26.79 |||| Fax://051.376.41.07
Top
ap



Registrato: 07/05/07 14:55
Messaggi: 197
Residenza: Bologna

MessaggioInviato: Mar 08 Mag 2007 12:15    Oggetto: Crollo dello spam Rispondi citando

On 8 May 2007, at 12:33, Maurizio Lemmo - Tannoiser wrote:

Citazione:
Citazione:
Nessuno usa il controllo dei mittenti?

Citazione:
Isp wide, per me, non e` applicabile.

Lo fa (faceva?) Verizon, che è grossotto anzichenò. Ricordo che
all'epoca aveva creato casini non piccoli.

- ap_______________________________________________
Erlug mailing list
Erlug@xxxxxx.xyz
http://erlug.linux.it/cgi-bin/mailman/listinfo/erlug
-----------------------------------------------------------
ErLUG webzine: http://erlug.linux.it
Manuali FDL:
LinuxFacile - http://www.linuxfacile.org
Linux Da Zero - http://erlug.linux.it/linuxdazero/
Connettivita' offerta da Ehiweb.it - http://www.ehiweb.it/
-----------------------------------------------------------
Top
Profilo Invia messaggio privato HomePage
tannoiser



Registrato: 02/04/07 10:06
Messaggi: 621

MessaggioInviato: Mar 08 Mag 2007 12:17    Oggetto: Crollo dello spam Rispondi citando

* martedì 08 maggio 2007, alle 12:55, Fabio Muzzi scrive:
Citazione:
Citazione:
Come ho scritto, (pero` leggi anche, per favore) ISP wide non e`
applicabile, l'overhead e` enorme.

Tu mi dicevi che rompo il protocollo, questo non e` vero.

Ho scritto che _O_ rompi il protocollo (se vuoi limitare l'overhead e
farlo a conn time), _O_ hai overhead ingestibile.

E puo` darsi che lo rompi a prescindere:

- che risposta dai? 4xx o 5xx?
- come ti comporti se mx e` unreachable?
- provi tutti gli mx? Se si lo sai che verosimilmente mx secondario
accetta posta a prescindere?

ecc.

Citazione:
Che invece generi un carico non gestibile, questo e` vero (o puo` essere
vero, dipende dalla struttura).

Pero` sinceramente, siccome meta` della mail e` spam, e sono tutte mail
con immagini, avrei qualche dubbio sul fatto che il controllo dei mittenti
"mangi" piu` risorse (banda, cpu) rispetto alla ricezione di tutto quello
spam con immagini, e al suo conseguente reinvio in pop3 al cliente.

Tu hai i dubbi, e un punto di vista client size. Io ho i server, e un
punto di vista ISP size. Non e` che non le facciamo queste prove, eh.

Mi perdonerai se preferisco dare credito ai fatti, che non ai dubbi. ;)

La dimostrazione e` evidente: il tuo campione e` prevalentemente di
spam-immagini. I miei campioni prevalenti sono altri[1].

Se non si usa il controllo sul mittente c'e` un motivo. Te l'ho
spiegato. Se poi "hai i dubbi" che ti devo dire. Amen.[2]

[1]
Questo perche`, essendo tanti domini/clienti diversi, hanno utilizzo
della rete profondamente diversificato, e punti di reclutamento degli
indirizzi i piu` vari. Lo spam verso uno stesso dominio,
tendenzialmente, tende a essere abbastanza sempre lo stesso. Ci sono
numeri altissimi di spam di certi tipi, che non hai mai ricevuto (meglio
cosi eh!).
Keyword: tende. Stiamo parlando di trend, non di assoluti. Il pensare
che tutto lo spam che circola sia 1a1 con lo spam che ricevi, e`
profondamente sbagliato (vale per tutti me compreso ovviamente).

[2]
Ti ho detto che sul tuo server / server del cliente puoi permetterti
delle cose che altrove non puoi. Cosa c'e` di straordinario in questo?
Io, sul mio server, blacklist tutta l'asia... Che poi questo possa
applicarlo a $provider ovviamente, non e` pensabile. E quindi non lo
posso considerare un "buon metodo" perche` non lo e` sempre. Pero` per
me va bene, non ho relazioni con la korea, blacklisto tutto (per dire).

_________________
Maurizio - Tannoiser - Lemmo
Founder Member of ERLUG http://erlug.linux.it
-------------------------------------------------------------------------------
"What do you mean, you've never been to Alpha Centauri? For heaven's sake,
mankind, it's only four light-years away, you know." - HHGG
Top
Profilo Invia messaggio privato
Sythos
Ospite





MessaggioInviato: Mar 08 Mag 2007 12:29    Oggetto: Crollo dello spam Rispondi citando

On Tue, May 08, 2007 at 12:29:15PM +0200, Andrea Paolini wrote:
Citazione:
Però ho voluto provare, e ho installato sulla macchina di casa
postgrey ad inizio aprile (in aggiunta ai check su sbl-
xbl.spamhaus.org e dul.dnsbl.sorbs.net).
Spam ricevuto fin ora: zero (contro 2-300 reject al giorno). Sono
impressionato.

T'e' andata di gran culo, a me una ventina al giorno passa comunque
(punteggio SA altissimo drop automatico, punteggio basso solo tag spam,
per "passa" intendo che non l'ha fermata ne' riconosciuta nessuno e mi
e' arrivata in inbox)

Citazione:
Citazione:
L'idea che sia difficile scrivere un programma di mass-spam che faccia
un secondo tentativo, e` vero solo in questo momento.
Copiaincollando da una mail che scrivevo all'epoca riguardo al
greylisting: <<è l'ennesimo accrocchio che - penso -funzionerà per un
po', fino a quando gli spammer installeranno nelle spamnet un engine
che onora i 4xx. E' una modifica relativamente banale.>>

Ma, in tutta sincerita', chi usa numericamente o in % un sistema di
greylist?


_________________
Sythos - http://www.sythos.net

() ASCII Ribbon Campaign - against html/rtf/vCard in mail
/\ - against M$ attachments
Top
Fabio Ferrero
Ospite





MessaggioInviato: Mar 08 Mag 2007 12:55    Oggetto: Crollo dello spam Rispondi citando

On 08/mag/07, at 12:59, Fabio Muzzi wrote:
Citazione:
Citazione:
Io ho un alias automatico creato come nomeutente-ggmmyyyy@dominio che
vale solo il giorno specifico e puo' essere comodo in questi casi.
Sempre se l'utente e' abbastanza "furbo" da usarlo...
A proposito di questo, secondo me dovremmo modificare la
configurazione in
modo che l'auto-daily-alias sia di fatto un destinatario
whitelistato,
proprio perche` il suo uso e` quello di ricevere mail
automatiche, che
magari hanno mittenti inesistenti.

A proposito di verify...
Una certa percentuale di spam proviene da indirizzi palesemente
errati (tipo: 6f.@o5), non avrebbe senso anche un check mediare
regex? In questi casi si puo' risparmiare il callout...

Ciao.

_________________
Fabio "Nutella" Ferrero
--------------------------------------------
Internet Images srl || http://www.interim.it
email: ferrero@xxxxxx.xyz || info@xxxxxx.xyz
Tel://051.627.26.79 |||| Fax://051.376.41.07
Top
ap



Registrato: 07/05/07 14:55
Messaggi: 197
Residenza: Bologna

MessaggioInviato: Mar 08 Mag 2007 12:59    Oggetto: Crollo dello spam Rispondi citando

On 8 May 2007, at 12:40, Fabio Muzzi wrote:

Citazione:
Citazione:
Citazione:
Nessuno usa il controllo dei mittenti?

Citazione:
Ha quasi lo stesso problema del postgrey. Fa delle assunzioni
assolute
che non lo sono (tipo sull'architettura di posta del mittente), e
tendenzialmente rompe un protocollo per tentare di fermare un abuso.

non sono d'accordo.

il controllo del mittente aumenta il carico, ma non rompe nulla.

Beh, dai, le palle un po' le rompe... :-)

Quello che succede usando la la callback verification è che si
implementa una macchina a stati differente a quanto specificato.
Rompe la RFC2821 ? Bella domanda.

Altre considerazioni che mi vengono da fare sono:

- Sono solo io che sento una gran puzza di deadlock (superabile con
qualche timer, per carità, ma sempre deadlock)

- Buona parte (quasi tutti?) gli spam falsificano il mittente
usandone uno esistente di una terza parte innocente. Che efficacia ha
verificarne l'esistenza?

Ciao,

- ap_______________________________________________
Erlug mailing list
Erlug@xxxxxx.xyz
http://erlug.linux.it/cgi-bin/mailman/listinfo/erlug
-----------------------------------------------------------
ErLUG webzine: http://erlug.linux.it
Manuali FDL:
LinuxFacile - http://www.linuxfacile.org
Linux Da Zero - http://erlug.linux.it/linuxdazero/
Connettivita' offerta da Ehiweb.it - http://www.ehiweb.it/
-----------------------------------------------------------
Top
Profilo Invia messaggio privato HomePage
Fabio Ferrero
Ospite





MessaggioInviato: Mar 08 Mag 2007 13:08    Oggetto: Crollo dello spam Rispondi citando

On 08/mag/07, at 13:59, Andrea Paolini wrote:
Citazione:
Citazione:
Citazione:
Citazione:
Nessuno usa il controllo dei mittenti?
- Buona parte (quasi tutti?) gli spam falsificano il mittente
usandone uno esistente di una terza parte innocente. Che efficacia
ha verificarne l'esistenza?

Sulla solita statistica della mutua... su un mail server con un solo
dominio, nei log di ieri, 257 messaggi rejected dei quali 59 per
mittente non verificato...

Ciao.

_________________
Fabio "Nutella" Ferrero
--------------------------------------------
Internet Images srl || http://www.interim.it
email: ferrero@xxxxxx.xyz || info@xxxxxx.xyz
Tel://051.627.26.79 |||| Fax://051.376.41.07
Top
tannoiser



Registrato: 02/04/07 10:06
Messaggi: 621

MessaggioInviato: Mar 08 Mag 2007 13:13    Oggetto: Crollo dello spam Rispondi citando

* martedì 08 maggio 2007, alle 13:55, Fabio Ferrero scrive:
Citazione:
A proposito di verify...
Una certa percentuale di spam proviene da indirizzi palesemente
errati (tipo: 6f.@o5), non avrebbe senso anche un check mediare
regex? In questi casi si puo' risparmiare il callout...

In postfix, c'e` l'apposito reject_non_fqdn_sender e
reject_unknown_sender_domain. Suppongo che in exim ci sia qualcosa di
analogo.

_________________
Maurizio - Tannoiser - Lemmo
Founder Member of ERLUG http://erlug.linux.it
-------------------------------------------------------------------------------
BOFH excuse #378:

Operators killed by year 2000 bug bite.
Top
Profilo Invia messaggio privato
ap



Registrato: 07/05/07 14:55
Messaggi: 197
Residenza: Bologna

MessaggioInviato: Mar 08 Mag 2007 13:22    Oggetto: Crollo dello spam Rispondi citando

On 8 May 2007, at 12:39, Fabio Ferrero wrote:

Citazione:
Io ho un alias automatico creato come nomeutente-ggmmyyyy@dominio
che vale solo il giorno specifico e puo' essere comodo in questi
casi. Sempre se l'utente e' abbastanza "furbo" da usarlo...

La prima incarnazione dell'idea - che io sappia - è di Todd A.
Jacobs. Parliamo del 2001, ed era saltata fuori nelle mailing list di
qmail. http://www2.codegnome.org:59321/scripting/showscript.php?
script=qacct.sh

Ho usato la generazione automatica di email a scadenza quando postavo
su Usenet, vale a dire MOLTO tempo fa, ed ha funzionato egregiamente
nel tenermi fuori da un bel po' di ML di spam. Invece degli alias
usavo gli extension address.

Adesso non Usenetto più e ho smontato tutto il maccherone, ma penso
sia ancora utile - per che ha il proprio server - attivare gli
extension address (magari usando il "-" e non il "+").

In questo modo, se ci si deve registrare su www.example.com (e non si
può o non si vuole usare mailinator, bugmenot o simili) invece di
tiziocaio@xxxxxx.xyz si può usare tiziocaio-examplecom@xxxxxx.xyz

Vantaggi:

1) Nessuna bega nella configurazione (si configura l'MTA per
accettare posta per tiziocaio-*@miodominio.it una volta per tutte e
non si tocca più niente)

2) Se uno dei sotto-indirizzi finisce in qualche lista di spammer
(per disgrazia o perché viene venduto) è semplice metterlo in
blacklist *E* sapere dove era stato usato.

My 0.2?,

- ap
Top
Profilo Invia messaggio privato HomePage
Davide Alberani



Registrato: 04/04/07 08:47
Messaggi: 953

MessaggioInviato: Mar 08 Mag 2007 14:37    Oggetto: fortunes-spam 1.5 [WAS: Crollo dello spam] Rispondi citando

On May 08, Davide Bolcioni <db_erlug@xxxxxx.xyz> wrote:

Citazione:
ho l'impressione che da una o due settimane ci sia stato un crollo
verticale nella quantità di spam

Spero ben di no! E poi io come faccio? <g>

Ovvero: e` fuori la nuova versione:
http://erlug.linux.it/~da/soft/fortunes-spam/


Younng Girl so trump and autoerotic!
_________________
Davide Alberani <da@xxxxxx.xyz> [PGP KeyID: 0x465BFD47]
http://erlug.linux.it/~da/
Top
Profilo Invia messaggio privato HomePage
Davide Alberani



Registrato: 04/04/07 08:47
Messaggi: 953

MessaggioInviato: Mar 08 Mag 2007 14:37    Oggetto: Crollo dello spam Rispondi citando

On May 08, Maurizio Lemmo - Tannoiser <tannoiser@xxxxxx.xyz> wrote:

Citazione:
Per il phishing di poste.it, io attualmente sto rejectando sul from, con
questa tabella, tutta verificata:

Ho ricevuto spam anche con from settati a:
supportoservizi@xxxxxx.xyz
comunicazione@xxxxxx.xyz
member@xxxxxx.xyz

assistenza@xxxxxx.xyz
support@xxxxxx.xyz
info@xxxxxx.xyz

Da verificare se esistono.


_________________
Davide Alberani <da@xxxxxx.xyz> [PGP KeyID: 0x465BFD47]
http://erlug.linux.it/~da/
Top
Profilo Invia messaggio privato HomePage
Fabio Muzzi
Ospite





MessaggioInviato: Mar 08 Mag 2007 15:37    Oggetto: Crollo dello spam Rispondi citando

Hello Maurizio,

Tuesday, May 8, 2007, 1:17:22 PM, you wrote:


Citazione:
Citazione:
Tu mi dicevi che rompo il protocollo, questo non e` vero.

Citazione:
Ho scritto che _O_ rompi il protocollo (se vuoi limitare l'overhead e
farlo a conn time), _O_ hai overhead ingestibile.

Perche` mi dici che farlo in realtime rompe il protocollo? a me continua a
non sembrare. Rallenta, si`. Puo` fallire e dare falsi positivi o
negativi? Si`, e` possibile. Ma rompe il protocollo, direi di no. per il
tuo smtp che chiama il mio, e` tutto normale. Per il tuo mx che viene
chiamato dal mio, ti sto mandando una mail e poi cambio idea e quitto.



Citazione:
- che risposta dai? 4xx o 5xx?
- come ti comporti se mx e` unreachable?
- provi tutti gli mx? Se si lo sai che verosimilmente mx secondario
accetta posta a prescindere?

Ora non ricordo, perche` l'ho fatto tempo fa, pero` all'epoca ci ho
pensato parecchio. Io tiro al primario, se questo non risponde in X
secondi (5 mi pare) vado in timeout e accetto lo stesso.

Se questo accetta qualsiasi cosa, ovviamente io mi trovo ad accettare
comunque.


Citazione:
Tu hai i dubbi, e un punto di vista client size. Io ho i server, e un
punto di vista ISP size. Non e` che non le facciamo queste prove, eh.

Citazione:
Mi perdonerai se preferisco dare credito ai fatti, che non ai dubbi. ;)

Ti perdonero`.

Io come ISP non implementerei mai un antispam "a priori", ma un sistema
che metto al singolo cliente SE LO VUOLE, con un grosso disclaimer che
potrebbe perdere posta buona.

Tanto purtroppo qualsiasi sistema (bayesiano, rbl, check del mittente,
ecc) ha dei potenziali drawback anche gravi, come la perdita di messaggi,
e questo al cliente deve essere chiaro, e il cliente deve poter scegliere
di NON avere alcun antispam.


_________________
Fabio "Kurgan" Muzzi

La diagnosi del tecnico:
Stress tettonico
Top
Fabio Muzzi
Ospite





MessaggioInviato: Mar 08 Mag 2007 15:39    Oggetto: Crollo dello spam Rispondi citando

Hello Andrea,

Tuesday, May 8, 2007, 1:59:30 PM, you wrote:


Citazione:
Quello che succede usando la la callback verification è che si
implementa una macchina a stati differente a quanto specificato.
Rompe la RFC2821 ? Bella domanda.

Secondo me, dal punto di vista del server remoto, non rompe nulla. la
sessione smtp va avanti secondo lo standard.


Citazione:
- Sono solo io che sento una gran puzza di deadlock (superabile con
qualche timer, per carità, ma sempre deadlock)

Secondo me si`. non ci sono deadlock possibili, al limite c'e` un rifiuto
di una mail "buona", ma nulla di piu` disastroso.

Citazione:
- Buona parte (quasi tutti?) gli spam falsificano il mittente
usandone uno esistente di una terza parte innocente. Che efficacia ha
verificarne l'esistenza?

Secondo me questo non e` vero. Sono pochi gli spam che lo fanno, almeno
nel mio campione, e poi c'e` un effetto secondario che mitiga l'efficacia
di quelli che lo fanno: la mailbox del malcapitato "mittente finto" si
satura subito e quindi non accetta piu` posta, ergo, il mio sistema
considera l'indirizzo non valido.


_________________
Fabio "Kurgan" Muzzi

La diagnosi del tecnico:
Il monitor e` collegato alla porta seriale
Top
tannoiser



Registrato: 02/04/07 10:06
Messaggi: 621

MessaggioInviato: Mar 08 Mag 2007 15:53    Oggetto: Crollo dello spam Rispondi citando

* martedì 08 maggio 2007, alle 16:37, Fabio Muzzi scrive:
Citazione:
Io come ISP non implementerei mai un antispam "a priori", ma un sistema
che metto al singolo cliente SE LO VUOLE, con un grosso disclaimer che
potrebbe perdere posta buona.

Tanto purtroppo qualsiasi sistema (bayesiano, rbl, check del mittente,
ecc) ha dei potenziali drawback anche gravi, come la perdita di messaggi,
e questo al cliente deve essere chiaro, e il cliente deve poter scegliere
di NON avere alcun antispam.

Non ci crederai: lo faccio. Ovvero. I miei setup lo prevedono. E lo
suggerisco esplicitamente. Poi, che $ISP_Cliente lo faccia, dipende da
caso a caso, ma tendenzialmente, lo facciamo.

Anche se, in termini di gestione, c'e` molta differenza tra un reject e
un silent delete. Il primo (purche` corretto), personalmente, e`
preferibile - il secondo vanifica alcuni principi base dell'smtp, ovvero
che "se non ti torna nulla la posta e` stata consegnata". Purtroppo,
pure li, si fa una tara, specie in questi ultimi anni.

_________________
Maurizio - Tannoiser - Lemmo
Founder Member of ERLUG http://erlug.linux.it
-------------------------------------------------------------------------------
No no, ci sta tutto in macchina da me.
-- cena linuxmeeting 2002
Top
Profilo Invia messaggio privato
Salvatore di Maggio
Ospite





MessaggioInviato: Mar 08 Mag 2007 16:49    Oggetto: Crollo dello spam Rispondi citando

In data Tue, 8 May 2007 11:19:49 +0200 Maurizio Lemmo - Tannoiser
<tannoiser@xxxxxx.xyz> ha scritto:

Citazione:
* martedì 08 maggio 2007, alle 11:05, Davide Bolcioni scrive:
Citazione:
ho l'impressione che da una o due settimane ci sia stato un crollo
verticale nella quantità di spam che ricevo, non compensato da una
crescita del phishing su poste.it che pure c'è stata. Non ho
statistiche sottomano, ma la sensazione è di una riduzione di oltre
il 50%. Conferme o smentite ?

Smentite. ;)

mi associo :(

Tit.
Top
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ERLUG Tutti i fusi orari sono GMT + 1 ora
Vai a Precedente  1, 2, 3, 4, 5  Successivo
Pagina 3 di 5

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it

torna alla home page di ERLUG
Per informazioni o problemi, contattare info@erlug.linux.it.
La connettività per questo sito e per gli altri nostri servizi è offerta da Ehiweb.it