Спамботы давным-давно уже научились обходить грейлистинг.
и я себе не сильно представляю каким образом можно тестировать грейлистинг с реальным потоком писем вместе с контекстными анализаторами.
да, естественно. руками :( иначе бы не было возможности посчитать FN.
неблагодарное занятие я Вам скажу, из 5-11 тысяч писем найти несколько валидных очень непросто.
может я конечно предвзято отношусь, но: Можно ли отслеживать число адресов (объем трафика), отнесенных к лицензированным?
В текущей версии Kaspersky Anti-Spam 3.0 такой возможности нет. Возможность отслеживать количество адресов, отнесенных к лицензированным, появится в одном из следующих обновлений продукта Kaspersky Anti-Spam 3.0. Используя текущую версию продукта, Вы можете отслеживать это количество сами, зная количество адресов в домене, заданном Вами как «защищаемый домен» (зная полный объем трафика, приходящий на адреса в домене, заданном Вами как «защищаемый домен»)
Сегодня трафик был 100МB, а завтра прислали несколько типографских макетов и трафик стал 500MB, в итоге имеем отключение фильтра и мусор в ящиках.
ПО моему не очень хороший метод ограничения работы фильтра? Я не прав?
Особенно если принять во внимание непредсказуемость входящего трафика.
Тоже самое с пользователями. Извините, но не понимаю.
охватить весь список антиспам систем просто невозможно.
хотя dspam наверное нужно было бы протестировать.
Возможно через некоторое время сделаю сравнительный анализ opensource антиспам систем.
Думаю будет интересным посмотреть.
стабильных версий FastBL на данный момент нет. Есть только devel который постоянно модернизируется. ddnsbl.sf.net/release.tar.gz от июня 2008 года.
В продакшн системах использовать можно, но осторожно. Возможны реальные FP от клиентов с кривой обратной зоной и криво настроенными мейлерами.
да в принципе особых проблем не было. просто на 7.2 софт благополучно стал падать с разными непонятными ошибками. Запустил руками — не нашлась кучка библиотек. Поставил из портов conpat6x, но что-то у меня сразу не завелось. Какой-то библиотеки всё равно не хватило, не помню уже какой.
После того как на GMail улетело 4.5 тысячи спам писем, меня там благополучно забанили :) потом конечно разбанили, но я уже снял форвард.
GMAIL очень сильно страдает от poisoning так же как и yandex, 31-1 числа была рассылка с мусором в теме и теле письма. По данным которые я получил от gmail — принятые 2560 писем были спамом + 250 писем легли в Inbox как валидные, из них 5 писем были реально валидны. тестирование методом пересылки для Gmail не совсем корректно. Rambler и Yandex вообще не стали принимать от моего IP почту. Тупо сбрасывали соединение ссылаясь на Грейлистинг 4.7.1. Но при потоке 10-30 писем в минуту грейлистинг просто невозможен.
А насчет способов лечения он намного слабже по защите от удаления нежели RuStock и Sality. aborche.livejournal.com/1300.html
Но если будет такая же защита как у вышеозначенных, то уровень опасности будет максимален.
Вы себе представляете объём логов к примеру хабрахабра? или жж? или flickr?
у меня 500 пользователей на проксе генерят ежедневно лог размером в 300-400 метров.
А насчет зашифровано — значит например используется Blowfish для шифрации контента, а сам контент лежит в base64 кодировке на странице пользователя.
Большинство ботнетов организуется на пользовательских машинах имеющих прямой доступ в инет. В корпоративных сетях вероятность заражения меньше, но последствия могут быть тяжелее.
Администраторы по честному отрабатывающие свои деньги и мониторящие все происходящее в сети довольно легко могут блокировать те или иные функции ботнетов практически лишая их средств к размножению. Так например изоляция Conficker очень проста. Переводите хост на IP адрес с маской 255.255.255.255 посредством dhcp и бот просто напросто задыхается от отсутствия ресурсов, вторым вариантом является блокировка DNS (перевод запросов на другой сервер не имеющий доступа в инет с отключенной функцией forward dns lookups).
Для блокировки p2p в большинстве случаев достаточно отключить udp трафик.
В пользовательских сетях это сделать невозможно, т.к. это обычно противоречит правилам договора о предоставлении услуг связи.
Все кому очень надо смогут найти, только вот никакой информации почерпнуть не смогут, ибо большинство данных будет зашифровано. Ручная фильтрация URL слишком трудоёмкий процесс, а уж отслеживание разрозненных подключений в логах прокси в общем потоке данных тем более.
тем что трафик который идёт от клиента к серверу выдаёт сервер управления. В случае использования социальной сети сервер управления оставляет свои команды в блоге и его адрес тонет в куче пользовательского трафика. А насчет довеска давно есть не очень широко используемый метод дописывания в конец картинки куска трояна. Далее дроппер собирает из нескольких графических файлов один исполняемый и запускает.
Можете сами попробовать. возьмите например eicar, упакуйте его в zip и добавьте в конец картинки через far(append). Потом эту картинку проверьте антивирусом.
и я себе не сильно представляю каким образом можно тестировать грейлистинг с реальным потоком писем вместе с контекстными анализаторами.
неблагодарное занятие я Вам скажу, из 5-11 тысяч писем найти несколько валидных очень непросто.
Можно ли отслеживать число адресов (объем трафика), отнесенных к лицензированным?
В текущей версии Kaspersky Anti-Spam 3.0 такой возможности нет. Возможность отслеживать количество адресов, отнесенных к лицензированным, появится в одном из следующих обновлений продукта Kaspersky Anti-Spam 3.0. Используя текущую версию продукта, Вы можете отслеживать это количество сами, зная количество адресов в домене, заданном Вами как «защищаемый домен» (зная полный объем трафика, приходящий на адреса в домене, заданном Вами как «защищаемый домен»)
Сегодня трафик был 100МB, а завтра прислали несколько типографских макетов и трафик стал 500MB, в итоге имеем отключение фильтра и мусор в ящиках.
ПО моему не очень хороший метод ограничения работы фильтра? Я не прав?
Особенно если принять во внимание непредсказуемость входящего трафика.
Тоже самое с пользователями. Извините, но не понимаю.
хотя dspam наверное нужно было бы протестировать.
Возможно через некоторое время сделаю сравнительный анализ opensource антиспам систем.
Думаю будет интересным посмотреть.
В продакшн системах использовать можно, но осторожно. Возможны реальные FP от клиентов с кривой обратной зоной и криво настроенными мейлерами.
GMAIL очень сильно страдает от poisoning так же как и yandex, 31-1 числа была рассылка с мусором в теме и теле письма. По данным которые я получил от gmail — принятые 2560 писем были спамом + 250 писем легли в Inbox как валидные, из них 5 писем были реально валидны. тестирование методом пересылки для Gmail не совсем корректно. Rambler и Yandex вообще не стали принимать от моего IP почту. Тупо сбрасывали соединение ссылаясь на Грейлистинг 4.7.1. Но при потоке 10-30 писем в минуту грейлистинг просто невозможен.
aborche.livejournal.com/2342.html
А насчет способов лечения он намного слабже по защите от удаления нежели RuStock и Sality.
aborche.livejournal.com/1300.html
Но если будет такая же защита как у вышеозначенных, то уровень опасности будет максимален.
Чтонить поинтереснее, аля Sality или Siberia2?
Скучный этот Conficker, интересно покопать чтото поновее.
у меня 500 пользователей на проксе генерят ежедневно лог размером в 300-400 метров.
А насчет зашифровано — значит например используется Blowfish для шифрации контента, а сам контент лежит в base64 кодировке на странице пользователя.
Администраторы по честному отрабатывающие свои деньги и мониторящие все происходящее в сети довольно легко могут блокировать те или иные функции ботнетов практически лишая их средств к размножению. Так например изоляция Conficker очень проста. Переводите хост на IP адрес с маской 255.255.255.255 посредством dhcp и бот просто напросто задыхается от отсутствия ресурсов, вторым вариантом является блокировка DNS (перевод запросов на другой сервер не имеющий доступа в инет с отключенной функцией forward dns lookups).
Для блокировки p2p в большинстве случаев достаточно отключить udp трафик.
В пользовательских сетях это сделать невозможно, т.к. это обычно противоречит правилам договора о предоставлении услуг связи.
PS: Есть неофициальные данные что mail.ru агент будет поддерживать jabber.
Можете сами попробовать. возьмите например eicar, упакуйте его в zip и добавьте в конец картинки через far(append). Потом эту картинку проверьте антивирусом.