В принципе, спам-листы являются полезным изобретением — их использование действительно позволяет отсеять значительную часть спама. Однако, такие листы имеют смысл лишь если в них есть актуальная информация. Вот тут-то и начинаются проблема.
Существует такая организация как Spamhaus, спам-листы от которой являются весьма популярным и, более того, некоторые реестры доменных зон принимают данные из этих списков как основание для блокировки домена. Тем не менее подходы Spamhaus несколько удивляют.
К примеру, IP адрес может попасть с спам-листы, даже если с него в принципе не отправлялось ни одного письма. Справедливости ради стоит отметить, что обычно это всё же связано тем или иным образом с сомнительной деятельностью, но при виртуальном хостинге попадание IP адреса с такой список влияет на всех пользователей этого хостинга, включая добросовестных, которых обычно большинство.
Несколько лет назад при таком внесении Spamhaus предоставлял достаточные доказательства с заголовками письма, но не так давно подход изменился. Теперь такое внесение Spamhaus производит не только при обнаружении рассылки спама, но и при обнаружении ботнет-контроллеров, однако доказательства весьма лаконичные. К примеру, в одном из SBL (http://www.spamhaus.org/sbl/query/SBL194743) доказательством такой деятельности был открытый 6522 порт, но был ещё SBL194500 (сейчас, правда, уже удалённый) где порт был 443 и всё доказательство заключалось в подключении к этому порту при помощи telnet.
Таким образом, для попадания в спам-листы достаточно чтобы _один_ клиент разместил ботнет-контроллер (которым последнее время является просто php скрипт). Даже если предоставляющий виртуальный хостинг провайдер непримиримо относится к рассылке спама, он всё равно рано или поздно попадёт в спам-листы Spamhaus и узнает об этом лишь после множественных обращений к нему его клиентов с вопросами вида «почему моя почта теряется». Существует, правда, услуга «DNSBL Datafeed», которую предоставляет Spamhaus и она позволяет получить информацию о внесении в листы несколько раньше, но эта услуга, естественно, платная.
Комментарии (38)
FreeLSD
22.05.2015 14:59+5Фи. Всего-то один адрес.
Нам блокировали /22, а моим коллегам блокировали всех апстримов до тех пор до полного прекращения пиринга.
mindego Автор
22.05.2015 15:20+1Тут хохма не в том, что адрес один, а в том что можно попасть даже если ты не рассылаешь ничего и следишь за тем, чтоб твои клиенты ничего не рассылали.
lexore
22.05.2015 16:01+4spamhaus — известные шантажисты
www.stopspamhaus.org/2014/06/ripoff-report-about-spamhaus-crime.html
Bal
22.05.2015 16:38+1Можно вообще не держать нестандартных открытых портов, не делать массовых рассылок — и всё равно попадать в листы Спамхауса через жалобы конкурентов и недоброжелателей. Я так дважды попадался. Один раз со временем сами вычистили, другой пришлось запретить регистрацию с email сервисов, которые работают со Спамзаусом. Ресурсы некоммерческие и платить бабки за разбан шантажистам — ну его…
Сейчас же просто держу для отсылки почты левый VPS на DO, во-первых, IP не совпадает с IP сервер и недоброжелатели так глубоко не копают, во-вторых, в случае, если доберутся, можно просто смерть IP.
amarao
22.05.2015 22:32+1Прекращайте жрать shared-хостинг. Ну сколько уже можно? Контейнеры, виртуалки, PaaS'ы — к вашим услугам десятки альтернативных решений. Но нет, надо выбирать самое технологически ужасное, коммунальное, полное склок и срачей за ресурсы, решение.
ЗЫ Это не оправдывает spamahaus.
ColorPrint
24.05.2015 17:50А виртуалки не используют IP адреса что ли, которые spamhaus сразу блоками легко может забанить?
amarao
24.05.2015 19:49Используют. Но во-первых «блоком», во-вторых у нормальных провайдеров несколько регионов. В третьих при правильном развёртывании «альтернативная копия» появляется в течение единиц минут.
ColorPrint
24.05.2015 19:59И через сколько блокировок провайдер перестанет развертывать копии и пошлет клиента лесом? )
amarao
24.05.2015 20:18Ни через сколько. Если abuse есть — один вопрос. Если нет — spamhaus идёт лесом. Как вы думаете, волнует amazon или rackspace мнение spamhaus'а?
ColorPrint
24.05.2015 20:52Может волновать аплинки. А без аплинков никакого сервиса не будет )
amarao
25.05.2015 00:35+1Я хочу увидеть сообщение о депиринге гугла, амазона или майкрософта.
Не переоценивайте значимость spamhaus'а.
titulusdesiderio
23.05.2015 14:33Бугуга. Мой домен в списке спамхауса потому что ip принадлежит Белтелекому — регистратору-монополисту. И ни Белтелеком ни самспамхаус не собираются что-либо предпринимать. Видимо ждут суда.
cyreex
24.05.2015 00:56Купите себе какую-либо дешевую VPS за пределами РБ и используйте ее как релей. Указ N60 это не нарушит, по карману не ударит :) Главное уточните, есть ли возможность изменить PTR для внешнего IP.
Конечно, это сработает только в том случае, если у вас почта на своем сервере.titulusdesiderio
03.06.2015 06:54Спасибо за совет!
Да. почта на своём сервере. Обязательно попробую этот способ.
CTpaHHoe
24.05.2015 15:58+1мы попали в черные списки спамхауса «заодно».
спамхаус пометил спамерской подсесть адресов владельца выделенного сервера.
просто так выйти не удалось, только сменой IP.
по словам хостера, он сильно заинтересован в решении ситуации, причиной постановки в ботнет был клиент, не(достаточно?) заботящийся о безопасности.
в итоге из-за одной паршивой овцы куча организаций имеет неудобства с доставкой почты, хостер теряет клиентов и деньги (на покупку нескомпроментированных адресов и бонусы клиентам).
Godless
25.05.2015 01:30больно знакомая ситуация… ток хостер впски таки решил проблему и добился исключения 24й сети. правда через почти месяц…
bioskiller
Я уже как-то писал и повторю еще раз. за использование спамхауса надо публично пороть.
mindego Автор
Надо. Но пороть yahoo.com (а они этим тоже страдают) — никакого ремня не хватит.
VGusev2007
А как тогда жить, без спамхауса? Оно к примеру у меня отбивает 10к писем в сутки. Ложных срабатываний — крайне мало. — Если бы не спам хаус, то тогда мне потребовалось использовать бы или почту для домена от Яндекс, гугл, мейл.ру, и т.п. или пользоваться outlook.com — что уже не совсем дёшего.
Против почт для домена — ничего не имею, но интегрировать такую внешнюю почту, не всегда удобно (к примеру авторизацию по LDAP, SSO), и как туда перенести, скажем 500 гигабайт почты — я представляю с трудом.
P.S. сам попадал в стоплист за ботнет активность. Насилу выковырял себя оттуда… Так что да — они таки козлы.
ColorPrint
Грейлистинг не помогает? Если память не изменяет, результаты очень неплохие, даже если фильтрация по базам не включена вообще.
VGusev2007
Не могу ничего сказать, не настраивал, по двум причинам:
Ни кому не удобно ждать первого письма по пол часа.
Я думаю, что спамеры, скорее всего пользуются просто чужими SMTP (в основном), и им грейлистинг не страшен. ИМХО.
merlin-vrn
Вы сильно ошибаетесь. Спамят просто домашние или офисные заражённые компы пользователей (то есть, ботнет).
Насчёт получаса — ну, чушь собачья же, email — не средство мнговенных сообщений, пол-часа вообще не срок. Кому неудобно и хочется сразу — пусть пользуют IM, коих полно.
Кроме того, вы можете, например, грейлистить только подозрительную почту (без подписи DKIM как пример, а гуглы-мейлы-яндексы все с DKIM и задержаны не будут).
VGusev2007
Кхм… Не уж-то ещё не все хомячковые ip, занесены в стоп-листы? Не ужели не все провайдеры ещё не закрыли 25 порт?
Кстати, такой вопрос: а собственно, что спамерам мешает учитывать грейлист?
merlin-vrn
Спамерам с серверов ничего не мешает. Но если спамят хомячковые компы, то они грейлистом отсекаются, а такого спама — подавляющее большинство.
Если мой домашний провайдер заблочит 25-й порт, или любой другой — он резко потеряет клиентов. Лично мне, например, неуютно жить с провайдером, который что-то за меня там решает и делает что-то не по моей инициативе. На самом деле регистрируют подозрительную активность и блочат если она наблюдается, но по умолчанию всё разрешено, а с моей стороны подозрительной активности нет.
А ещё вспомните про офисные компы, договор на юрлицо и даже эникея нет в силу жабовости и недалёкости куроводства, или же просто из-за кризиса. Ну рассылают они спам, им-то что, им же никто претензии не предъявляет. А для провайдера что-то самовольно заблокировать юрлицу, даже мелкому, вовсе не так просто, нужно основание куда более веское, чем какие-то предположения по поводу подозрительного трафика.
Нужно законодательство, которое будет охранять интернет от хомячков. Имеешь в офисе или даже дома заражённые компы, не следишь за этим, рассылаешь спам или брутфорсишь ssh — штраф. Вот тогда будут думать о безопасности интернета.
grossws
Та же корбина исторически блокировала исходящий 25/tcp у всех, кто не поставил галочку «не блокировать» в личном кабинете.
VGusev2007
Вообще соглашусь. На Майские праздники, спам, существено упал. Следовательно делаю вывод, что очень много офисных ЭВМ этим делом занимаются.
И всё же, а почему ботнетерам, столь сложно преодолевать серые списки? Чем сложно их учитывать? Или запускать простейший smtp сервер, который уже будет всё это учитывать?
merlin-vrn
Не помогает. То есть, что-то он конечно отсекает, но то, что он обычно отсекает, обычно нормально отсекается и просто протокольным фильтром (проверяющим формальное соответствие протоколу ESMTP, как то — наличие обратной записи DNS, формально корректный хостнейм в HELO или EHLO и так далее).
VGusev2007
Вот и я так думаю… Что формальное соответствие протоколу ESMTP + RBL. Грейлист особо не поможет.
coolmiha
Exchange 2010. Расскажите, как бороться со спамом без черных списков.
navion
Угу, что в IronPort, что в ORF существенная доля спама отсекается через RBL.
bioskiller
MTA перед Exchange.
Как коммерческие решения так и бесплатные.
Тот же Kaspersky или SpamAssassin.
merlin-vrn
У мокрософта долгое время на фронте стоял… postfix, которого для винды вообще не существует. (Я имею ввиду, mx-записи microsoft.com указывали на сервер, на котором на 25-м порту отвечал постфикс.)
navion
Зато сейчас всё на Exchange, а бэкенд Outlook.com скоро переедет на одну платформу с Office 365.