Доброго времени суток.
есть сетка через ipfw. необходимо покосить злостных спамеров. хочу посчитать пакеты на 25м порту. подскажи плиз как это лучше организовать?? может, кто-то делал по-другому или знает более эффективный метод.

• считать пакеты.,Аноним, 09:54 , 27-Апр-10
  • считать пакеты.,a.shine, 09:59 , 27-Апр-10
  • считать пакеты.,rr, 10:52 , 27-Апр-10
    • считать пакеты.,Broot, 12:54 , 27-Апр-10
      • считать пакеты.,rr, 16:16 , 27-Апр-10
        • считать пакеты.,MrPurple, 16:20 , 27-Апр-10
          • считать пакеты.,rr, 16:23 , 27-Апр-10
            • считать пакеты.,MrPurple, 16:40 , 27-Апр-10

вообще активность на 25-м порту не имеет отношения к спаму - это активация после регистрации на сайте, напоминания, смена паролей, уведомления об акциях и так далее
слово СПАМ - имеет негативную окраску и четко определено судом, какие ИМЕННО массовые почтовые сообщения называются СПАМОМ:
1. сообщения неперсонифицированные, от которых нельзя отписатся
2. список рассылки которых составлен без участия человека

обычно, это 0,001% сообщений проходящих через порт 25
в случае, если НЕКТО блокирует персонифицированные сообщения (как например это делает MAIL.RU) или сообщения, составленные с участием человека - этого НЕКТО можно брать за жопу и тащить в суд (чтобы например взыскать с него недополученную прибыль)

поэтому MAIL.RU (например) вносит специальный пункт в условия предоставления услуги, что не гарантирует доставку сообщений для целей бизнеса - и поэтому MAIL.RU никто и не пользуется

тут смысл не в том, чтобы отсекать. просто считать и смотреть активность.
у нас же не почтовый сервер, а локальная сеть. вот я и интересуюсь. какими способами можно определять от кого идет спам. хотя-бы приблизительно. посоветовали считать пакеты на основных портах вирусной активности и почты. затем, просить пользователя проверить ПК

>вообще активность на 25-м порту не имеет отношения к спаму - это
>активация после регистрации на сайте, напоминания, смена паролей, уведомления об акциях
>и так далее
>слово СПАМ - имеет негативную окраску и четко определено судом, какие ИМЕННО
>массовые почтовые сообщения называются СПАМОМ:

каким судом определено?

>1. сообщения неперсонифицированные, от которых нельзя отписатся
>2. список рассылки которых составлен без участия человека

список рассылки без участия человеком, это как? человек во всем участвует. код для автоматизации составления списков рассылки пишет человек.

>
>обычно, это 0,001% сообщений проходящих через порт 25

очень сомнительное утверждение.

>в случае, если НЕКТО блокирует персонифицированные сообщения (как например это делает MAIL.RU)
>или сообщения, составленные с участием человека - этого НЕКТО можно брать
>за жопу и тащить в суд (чтобы например взыскать с него
>недополученную прибыль)

с какой стати?
принимать почту или не принимать принимает хозяин сервера.
если организация установила почтовый серве только для приема почты от конкретного почтового сервера, его тащить в суд за это?

>
>поэтому MAIL.RU (например) вносит специальный пункт в условия предоставления услуги, что не
>гарантирует доставку сообщений для целей бизнеса - и поэтому MAIL.RU никто
>и не пользуется

>[оверквотинг удален]
>
>с какой стати?
>принимать почту или не принимать принимает хозяин сервера.
>если организация установила почтовый серве только для приема почты от конкретного почтового
>сервера, его тащить в суд за это?
>
>>
>>поэтому MAIL.RU (например) вносит специальный пункт в условия предоставления услуги, что не
>>гарантирует доставку сообщений для целей бизнеса - и поэтому MAIL.RU никто
>>и не пользуется

Я использую это. Уже два года - ни одной жалобы от абонентов, ни одного попадания в блек-листы.
http://www.purple.org.ua/borba-s-pochtovymi-troyanami-na-mar.../

За умеренные WMZ помогу "настроить и забыть"

и что же такое делает механизм, там описанный?
http://www.purple.org.ua/borba-s-pochtovymi-troyanami-na-mar.../

>и что же такое делает механизм, там описанный?
>http://www.purple.org.ua/borba-s-pochtovymi-troyanami-na-mar.../

Блокирует source-ip при помощи ipfw, в случае, если с этого source-ip в течение определённого интервала времени было произведено более определённого числа коннектов на разные destination-адреса (TCP 25 порт).

В случае необходимости, может начать разблокировать через определённый интервал также.

чем такое решение лучше, того чтобы просто закрыть исходящие подключения на dst-port 25 вне сети и релея провайдера?

>чем такое решение лучше, того чтобы просто закрыть исходящие подключения на dst-port
>25 вне сети и релея провайдера?

Лояльность к абоненту - дело каждого провайдера интимное :)

Кто-то блочит netbios-трафик, например, а кто-то не блочит.
Кто-то предоставляет доступ к файловым ресурсам через CIFS, а кто-то через FTP.

Это решение блокирует лишь тех абонентов, у которых существует проблема (вирусная активность). При этом, в случае блокировки абонента на саппорт-ящик приходит письмо с уведомлением, после чего (в норме) саппорт связывается с абонентом, рекомендуя ему "полечиться" (ведь у абонента, кроме этой сетевой активности есть очень часто и эффект "тормозит компьютер и интернет", что может стать причиной ухода его к другому провайдеру по столь глупой причине).