https://m.opennet.dev/openforum/vsluhforumID3/37734.html В заметке "High traffic on the email server (http://www.g-loaded.eu/2007/06/23/high-traffic-on-the-email-server/)" наглядно продемонстрирован простой и эффективный способ блокирования спам-ботов, которые в определенные моменты приводят к превышению лимита на допустимое число соединений к почтовому серверу (эффект подобен DDoS атаке, сколько не увеличивай лимит - все равно соединения занимаются ботами с тысяч машин зараженных троянским ПО).<br><br><br>George Notaras, заметил, что большое число спам-ботов занимаются перебором адресов или отправляют почту уже несуществующим ящикам и провел простой эксперимент - выделил из лога postfix все подобные "reject" сообщения (за неделю выявлено более 260000 блокировок для 10000 уникальных IP) и заблокировал выявленные адреса. В результате, нагрузка на почтовый сервер снизилась в 40 раз.<br><br>URL: http://www.g-loaded.eu/2007/06/23/high-traffic-on-the-email-server/<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=11186<br> https://m.opennet.dev/openforum/vsluhforumID3/37734.html#14 Wed, 27 Jun 2007 14:22:01 GMT &gt; обратное разрешение имени хоста отправителя и блокировки по маске имени хоста.<br>А зачем? Процы греть? Чтобы найти еду нужно идти в продуктовую лавку. А не прочесывать перед походом лавку все окрестные помойки. Доступная аналогия? :) https://m.opennet.dev/openforum/vsluhforumID3/37734.html#13 Tue, 26 Jun 2007 04:50:55 GMT Угу, а потом приходит к тебе директор и говорит, что ему люди письмо прислать не могут, и ваапще трах-тибидох!<br>А при разборе полетов оказывается, что люди живут не внутри МКАД, а в деревне Гадюкино Урюпинского уезда, и что Сеть у них только 2 часа в сутки, и диалап через соседнюю область :( <br><br>Вы с таким, сударь, не сталкивались? Вам везет, а мы уже несколько раз на эти грабли наступали, пришлось от этого отказываться.<br><br># Это грей-лист не пустил<br>mx log # grep '450 &lt;.*&gt;: Recipient address rejected: Service is unavailable; from=' maillog &#124; wc -l <br>24360<br><br># Это сколько доставлено<br>mx log # grep 'delivered to mailbox' maillog &#124; wc -l <br>3359<br><br># Это по теме статьи. Количество писем на не существующих пользователей<br>mx log # grep 'User unknown in local recipient table' maillog &#124; wc -l <br>627<br><br># Это количество уникальных IP адресов. <br>mx log # grep 'User unknown in local recipient table' maillog &#124; sed -e 's/.*\(\[.*\]\): 550 .*/\1/' &#124; sort &#124; uniq &#124; wc -l <br>439<br><br>примерн https://m.opennet.dev/openforum/vsluhforumID3/37734.html#12 Tue, 26 Jun 2007 04:09:23 GMT Нет конечно, 120 комьпютеров из бразилии, 240 из США вполне имеют законное право рассылать через вас почту... https://m.opennet.dev/openforum/vsluhforumID3/37734.html#11 Tue, 26 Jun 2007 04:04:51 GMT Exim рулез. https://m.opennet.dev/openforum/vsluhforumID3/37734.html#10 Tue, 26 Jun 2007 03:32:14 GMT Собираю троянов и ботов 2-я ловушками в свой РБЛ.<br>Эффективность сего - примерно еще +50 отлупов на 10000 попыток чего-либо послать (после всех остальных проверок)<br><br>п/с/ но убирать эту ерунду все одно не собираюсь. https://m.opennet.dev/openforum/vsluhforumID3/37734.html#9 Tue, 26 Jun 2007 00:25:58 GMT Надеюсь, он теперь будет еженедельно пополнять этот "чёрный" список? :) Помнится был такой bl, в который заносили завирусованные компы. Чем он ему не понравился? Сам я такой bl не использую, но если человеку хочется, то флаг в руки...<br>По блокировкам: нет какого-то волшебного способа способного сразу решить проблему. Только комплекс правил. И только если правила отлажены в тестовом режиме. https://m.opennet.dev/openforum/vsluhforumID3/37734.html#8 Mon, 25 Jun 2007 20:03:36 GMT <br>У меня в exim стоит вот такое правило<br> deny message = Max 3 failed recipients allowed<br> condition = ${if &gt;{$rcpt_fail_count}{2} {1}}<br> delay = ${eval: ($rcpt_fail_count) * 30}s<br> log_message = $rcpt_fail_count failed recipient attampts - dict attack<br><br><br>После определенного количества rcpt_fail_count срабатывает tcp connect timeout и все идут лесом https://m.opennet.dev/openforum/vsluhforumID3/37734.html#7 Mon, 25 Jun 2007 19:07:32 GMT Да в общем-то статья не о том, как отделить спам-ботов от легальных, а о том, что пока ботам выдавали отлуп с объяснением причины -- они это игнорировали и долбились дальше, занимая ресурсы сервера. А когда им просто сказали "Reject" (не в курсе особенностей postfix non-access-denied rejections vs ) по IP -- их это проняло, и больше они не приходили. Так что это скорее конструктивный просчет программирования ботов. https://m.opennet.dev/openforum/vsluhforumID3/37734.html#6 Mon, 25 Jun 2007 15:31:50 GMT базы тут непричем. 90% или более обратных DNS динамических адресов содержит в себе последнюю цифру IP адреса в том или ином виде. А также чтото типа dsl или pppoe или modem. Владельцы SMTP серверов напротив, заботятся о нормальном ответе на обраный DNS запрос. Без обратного DNS часто на почтовые сервера вообще не пускают(и правильно делают).