Содержание
JP Венцель | $ cat /dev/brain > /dev/blog
DÖRFER, DIE BERLIN SIND (SPREEBLICK)
Frédéric Valin gibt im Spreeblick sein Statement zu Berliner Bezirken ab. Sehr nett цу Lesen. Besonders gefällt mir natürlich der Bezug zu Karlsruhe:
[Pankow] Schließen Sie die Augen und stellen sich Karlsruhe vor, bloß ohne Studenten. Джа? Кишка. Итак, ungefähr.
БОРЬБА С СПАМЕРАМИ
За последние недели мы с Фредом обсудили и опробовали различные подходы к решению проблемы со спамом на одном из серверов наших клиентов.
Я дам несколько советов о том, как можно улучшить настройку почтового сервера. Имейте в виду: мы довольно строги на этом сервере. Когда сообщение слишком похоже на спам, оно немедленно отбрасывается и, возможно, навсегда теряется в открытом космосе. Наш клиент согласен с этой процедурой. Я не знаю, если вы тоже. Тем не менее, мы обнаружили, что комбинация следующих методов весьма полезна:
Отключить универсальный для ваших доменов. Что ж, было весело, пока у него были такие адреса электронной почты, как 9.0019 [электронная почта защищена] — со всем, что у вас только что было, поэтому настройте свой сервер так, чтобы он принимал любую локальную часть вашего домена и доставлял ее в папку «Входящие». Теперь, когда спамеры пробуют различные методы для формирования локальных частей, которые могут существовать в вашей системе (а на самом деле их нет, например, [email protected]
, [email protected]
, [email protected]
, …), для вашего психического здоровья лучше всего ограничить свой сервер адресами (личными и ролевыми учетными записями), которые вы действительно используете.
Используйте fail2ban
для отключения SMTP-соединений с определенного хоста, если они не работают при обмене данными с SMTP-сервером. Это правило учитывается при наличии более n сбоев в конкретном временном интервале, например, при неправильной настройке или не ожидании приветствия сервера и попытке немедленно отправить свой мусор. И пока вы этим занимаетесь, посмотрите, хотите ли вы активировать fail2ban
для вашего демона SSH и других служб.
Проверить SMTP-подключение по черному списку. Есть несколько хорошо управляемых черных списков, таких как Heise/iX. Используй их. Вкратце: хосты, которые рассылали спам другим провайдерам в течение последних 72 часов, также удаляются отсюда. Этот DNSBL предоставляется некоторыми важными немецкими почтовыми провайдерами, например, GMX или Web.de.
Проверьте ДАННЫЕ с помощью SpamAssassin. Если почта прошла предыдущие проверки, она фильтруется с помощью SpamAssassin. Мы используем некоторые тесты, поставляемые с установкой SpamAssassin, а также наши собственные. Почта также проверяется на наличие известных вредоносных программ/вирусов (ClamAV и других) во время SMTP-соединений. Кроме того, плагин SaneSecurity для ClamAV перехватывает еще несколько фишинговых/вредоносных писем. Предпринятое здесь действие: если сообщение не проходит более n тестов, т. е. получает высокий балл SpamAssassin, он отбрасывается. Будьте осторожны при выборе предела спам-рейтинга: если он слишком высок, он может оказаться бесполезным, если он слишком низок, это может привести к потере легитимной почты, которая по какой-либо причине получила высокий спам-рейтинг.
Наша настройка пока в порядке , но мы все еще видим около десяти тысяч SMTP-соединений в файлах журналов, которые должны быть оценены и в конечном итоге отбрасываются одним из тестовых механизмов по разным причинам. Если бы мы могли устранить еще некоторые из них, было бы хорошо.
Окончательное и наиболее ограничительное правило может быть каким-то образом сочтено политически некорректным. Итак, позвольте мне сначала объяснить проблему, а затем вы решите, подходит ли вам это правило.
Наш клиент не ожидает писем из стран Восточной Европы или Азии, например, из России, Украины, Турции или Кореи. Просто назвать несколько. Установка общего правила фильтрации iptables для всех (или даже только для одной) этих стран невозможна, так как мы бы исключили людей из этих стран для получения информации из источников в остальном мире. Это не то, чего мы хотим добиться . Доступ к информации в сети не должен быть ограничен.
Но… Давайте посмотрим на проблему с другой точки зрения. Большинство компьютеров зомби-ботов Windows , которые были захвачены и используются для распространения червей и спама, используют свой собственный локальный механизм SMTP. Это необходимо для создания распределенной сети машин, отправляющих почту, которую гораздо сложнее обнаружить и заблокировать как единый хост. У «обычного» пользователя1 ИМХО нет законная причина для напрямую 2 __подключиться со своего хоста к серверу наших клиентов по SMTP.
Допустим, кто-то из Мумбаи пытается отправить мне электронное письмо. Если они используют какой-либо провайдер веб-почты, например, Google Mail, их электронная почта отправляется через серверы Google и с них, а не с их собственного коммутируемого хоста. Они должны пройти аутентификацию на серверах Google, и если они рассылают спам, я могу подать жалобу в Google, и они смогут принять меры. Даже если это займет много времени, и с тех пор спамер создал десять новых учетных записей для доставки его высоко оцененных информационных писем, предлагающих мне большую… грудь. Извини, чувак, мне удобно с моей грудью. не думаю гудки хорошо бы смотрелись там. Но в любом случае. Используя внешний веб-сервер, спамер вынужден соблюдать правила , созданные кем-то другим . Если они отправляют слишком много сообщений, они могут быть исключены из службы на несколько минут. И где-то может сработать сигнализация, значит, дело расследуется, читай: отключат, если обнаружат.
Если спамеры используют свои собственные настройки домена, они обычно используют арендованный или захваченный сервер для отправки своего сообщения моему. Это будет только один хост, который кому-то из хостинговой компании придется отключить, чтобы (временно) решить проблему. Если они отказываются принимать меры, опять же, вам нужно заблокировать только один хост, а не целую бот-сеть, распределенную по разным провайдерам, сетям или даже странам.
Другими словами, мой опыт показывает, что законные сообщения электронной почты не исходят [напрямую] от коммутируемых хостов . Никогда. Поэтому я начал блокировать SMTP-трафик из определенных коммутируемых сетей.3 И знаете что? Количество входящих SMTP-соединений, доставляющих спам или вредоносное ПО , сократилось на 80%! Я думаю, что этого достаточно. Если вам интересно, это были самые популярные сети для рассылки спама за последние недели:
- Московская Местная Телефонная Сеть (ОАО МГТС), 79.139.128.0/18
- Корея Телеком, 59.0.0.0/11
- Дальневосточная телекоммуникационная компания, 77.34.0.0/15
- Сеть Промира (Россия), 79.120.64.0/18
- БОРАНЕТ (Южная Корея), 118.128.0.0/14
- ТуркТелеком (определенно победитель!) , 85.105.208.0/20 и 85.105.224.0/19 и 88.230.128.0/18
- УКРТЕЛЕКОМ, 92.112.0.0/15
Итак, каков ваш опыт борьбы со спамом? Вы используете другую установку? Считаете ли вы, что один из представленных здесь методов подвержен ошибкам и приведет к большому количеству ложных срабатываний? Не стесняйтесь оставлять отзывы, используя функцию комментариев ниже.
LINUX: ПРАВДИВАЯ ИСТОРИЯ
Родители: поговорите со своими детьми о Linux, пока это не сделал кто-то другой… (xkcd)
GOOGLE: ВЫ ЧТО-ТО ЗАБЫЛИ?
Где взять обновленный сертификат для подключения к smtp.gmail.com
?
НОВАЯ ИГРУШКА В ДОМЕ
Я планирую сделать больше фотографий во время путешествия. Новый объектив будет введен в эксплуатацию через несколько недель. Вскоре к нему может быть добавлен еще один объектив (телезум или сверхширокоугольный). Кроме того, у меня также есть больше памяти на картах CF, так как я хотел бы немного поэкспериментировать с RAW и HDR. И я все еще жду доставки iPod Camera Connector, который я снимаю на eBay (просто чтобы иметь запасное решение в дороге).
Если вы ищете самый классный магазин , специализирующийся на оборудовании Canon в Германии, зайдите на Achatzi.de — владелец (Мартин Ахаци) очень дружелюбный, цены правильные и, насколько мне известно, , послепродажное обслуживание потрясающее. Связь (по электронной почте), управление заказами и доставка были потрясающими, когда я заказывал. Он ответил по почте вскоре после того, как я разместил свой заказ, и объектив был у меня на столе в течение 48 часов. Achatzi действительно заслуживает A+ . Я с нетерпением жду, чтобы купить дополнительное оборудование там.
link information
11/7/22
7:19:27 AM
179.222.230.153
Claro NXT Telecomunicacoes Ltda
BrazilCuritiba
Windows
Chrome
https://iplogger.org/
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, например Gecko) Chrome/107.0.0.0 Safari/537.36
Дополнительная информация
Точность: ip
Ссылающиеся страницы
5
5
5
8 .org/
Интеллектуальные данные
Точность: IP
23.07.22
3:31:24
143.47.236.106
Oracle Corporation
United Kingdomslough
. Другие
. Другие
. It!/1.0 (https://unshorten.it/)
Дополнительная информация
Точность: ip
Ссылающиеся страницы
HTTP-Referer пуст
Smart data
Точность: ip
720302/
4
3:25:00
109.252.59.118
Московская локальная телефонная сеть (OAO MGTS)
Russiaobruchevo
IOS
Safari
http-referer пуст
Mozill .15 (KHTML, как Gecko) Версия/15.5 Mobile/15E148 Safari/604.1
Подробнее
Точность: ip
Ссылающиеся страницы
HTTP-Referer пуст
Smart data
5 0:0004
0:0004 23/22
3:16:04 AM
109.252.59.118
МОСКОВА МОЖЕСТВЕННАЯ ТЕЛЕКОННАЯ СЕТИ (OAO MGTS)
Russiobruchevo
IOS
Chrome
HTTP-Referer пуст
MOZILL/5.0 (iPhone/5.0 (iPhone/5.0/5.0 (iPhone/5. 0/5.0 (iPhone; 15_5 как Mac OS X) AppleWebKit/605.1.15 (KHTML, как Gecko) CriOS/103.0.5060.63 Mobile/15E148 Safari/604.1
Дополнительная информация
Точность: ip
Ссылающиеся страницы
пусто 09Referer Интеллектуальные данные
Точность: IP
23.07.22
3:15:27
35.217.58.172
Google LLC
(FinlandLappeenrant iPhone, процессор iPhone OS 15_5, как Mac OS X) AppleWebKit/605.1.15 (KHTML, как Gecko) CriOS/103.0.5060.63 Mobile/15E148 Safari/604.1
Дополнительная информация
Точность: ip
Ссылающиеся страницы HTTP
—
Реферер пуст
Интеллектуальные данные
Точность: IP
23.07.22
3:12:14
35.217.58.172
Google LLC
HTLAPPEENRANAT (iPhone; процессор iPhone OS 15_5, например Mac OS X) AppleWebKit/605.1.15 (KHTML, например Gecko) CriOS/103.0.5060.63 Mobile/15E148 Safari/604. 1
Дополнительная информация
Точность: ip
Ссылающиеся страницы
5 HTTP -Реферер пуст
Smart Data
Точность: IP
23.07.22
3:11:50
176.57.72.107
LLC Globaltelecomstroy
Russiatomilino
Android
SAMSUNG
9
. HT-ht-ht-ht-ht-ht-ht-ht-ht-ht-ht-ht.
Mozilla/5.0 (Linux; Android 11; SAMSUNG SM-A125F) AppleWebKit/537.36 (KHTML, например Gecko) SamsungBrowser/17.0 Chrome/96.0.4664.104 Mobile Safari/537.36
Smart data
Точность ссылок: ip
50005
HTTP-Referer is empty
Smart data
Accuracy: ip
7/23/22
3:10:09 AM
35.217.58.172
Google LLC
FinlandLappeenranta
iOS
Chrome
HTTP-Referer пуст
Mozilla/5.0 (iPhone; CPU iPhone OS 15_5, как Mac OS X) AppleWebKit/605. 1.15 (KHTML, как Gecko) CriOS/103.0.5060.63 Mobile/15E148 Safari/604.1
Подробнее
Точность: ip
Ссылающиеся страницы
HTTP-Referer is empty
Smart data
Accuracy: ip
7/23/22
3:09:40 AM
143.47.236.106
Oracle Corporation
United KingdomSlough
other
other
HTTP-Referer пуст
Unshorten.It!/1.0 (https://unshorten.it/)
Дополнительная информация
Точность: ip
Ссылающиеся страницы
Smart-Referer пуст
05
Точность: IP
7/23/22
3:08:35 AM
91.193.179.81
PJSC «Vimpelcom»
RussiaKonstantinovo
Android
Chrome
HTTP-Referer is empty
Mozilla/5.0 (Linux; Android 11; TFY-LX1) AppleWebKit/537.36 (KHTML, как Gecko) Chrome/94.0.4606.85 Mobile Safari/537.36
Подробнее
Точность: ip
Ссылающиеся страницы
Smart
Данные HTTP-Referer пусты
8
8
Точность: IP
23. 07.22
3:07:51
35.217.58.172
Google LLC
FinlandLappeenrant OS 15_5, как Mac OS X) AppleWebKit/605.1.15 (KHTML, как Gecko) Version/15.5 Mobile/15E148 Safari/604.1
Дополнительная информация
Точность: ip
Ссылающиеся страницы
Smart-Referer пуст
5 данные
Точность: IP
23.07.22
3:06:13
35.217.58.172
Google LLC
FinlandLappeenrant OS 15_5, как Mac OS X) AppleWebKit/605.1.15 (KHTML, как Gecko) CriOS/103.0.5060.63 Mobile/15E148 Safari/604.1
Дополнительная информация
Точность: ip
Ссылающиеся страницы
HTTP-Referer пуст
Интеллектуальные данные
Точность: ip
23.07.22
3:05:42
35.217.58.172
Google LLC
FinlandLappeenrant OS 15_5, как Mac OS X) AppleWebKit/605.1.15 (KHTML, как Gecko) CriOS/103.0.5060.