Discussion:
greylist - już nie tak skuteczny?
(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)
Skygge - nie pisz na ten adres!
2006-10-18 06:28:43 UTC
Permalink
Witam.
Wczoraj rano zaimplementowałem postgreya do mojego serwerka.
Ilość spamu złapanego przez SA spadła z ok. 200-300 do 65.
Czyli jednak spamerzy się uczą i zaczynają to omijać. Wniosek stąd, że
czytałem że greylist potrafi obciąć 95% spamu a u mnie jest to ok. 67-78%.
Przypuszczam, że ta wartość z czasem pewnie będzie maleć.

Pozdrawiam,
Skygge.
--
...I've opened my mind and darkened my entire life...
(tak gdzieś około -2EV)
www.skygge.com, skygge.at.skygge.usunto.com
Andrzej Adam Filip
2006-10-18 09:05:28 UTC
Permalink
Post by Skygge - nie pisz na ten adres!
Wczoraj rano zaimplementowałem postgreya do mojego serwerka.
Ilość spamu złapanego przez SA spadła z ok. 200-300 do 65.
Czyli jednak spamerzy się uczą i zaczynają to omijać. Wniosek stąd, że
czytałem że greylist potrafi obciąć 95% spamu a u mnie jest to ok. 67-78%.
Przypuszczam, że ta wartość z czasem pewnie będzie maleć.
I słusznie przypuszczasz bo spamerzy też swój rozum mają
a paru "inteligientnych" się tam musiało zaplątać.

Greylisting będzie jescze całkiem długo skuteczny *szczególnie w*
*kombinacji* z RBLami typu cbl.abuseat.org (kompozyt xbl.spamhaus.org)
który listuje adresy IP które wysłały maile do ich spmatrapów.

Greylisting pomaga ominąć "ślepą plamke" gdy IP już wysyła spam ale nie
został *jescze* wylistowany przez takie RBLe.
--
Andrzej Adam Filip -- ***@priv.onet.pl -- ***@xl.wp.pl
Mariusz
2006-10-18 09:08:23 UTC
Permalink
Post by Skygge - nie pisz na ten adres!
Wczoraj rano zaimplementowałem postgreya do mojego serwerka.
Ilość spamu złapanego przez SA spadła z ok. 200-300 do 65.
Czyli jednak spamerzy się uczą i zaczynają to omijać. Wniosek stąd, że
czytałem że greylist potrafi obciąć 95% spamu a u mnie jest to ok. 67-78%.
Przypuszczam, że ta wartość z czasem pewnie będzie maleć.
Skutecznosc greylistingu zalezy od kilku czynnikow. Przedewszystkim jaki
spam otrzymujesz. Jesli sa to klasyczne smieci z zombiakow to greylisting
pomaga bo zombiaki sa _glupie_ i mieszajac z sesją można je ubić. Jesli
jest to spam np. z polskich firm, ktorego wiekszosc przychodzi z
hostingowni ala home.pl to juz gorzej. Dzieje sie tak dlatego ze taki
(przykladowo) home.pl udostepnia serwery z systemami 'unix* like', ktore sa
wyposazone w prawdziwe MTA, dla ktorych to MTA greylisting nie jest
problemem bo potrafia skolejkowac maile i odczekac az poczta zostanie
przyjeta albo usunac z kolejki po paru dniach. Skoro istnieje taki podzial
i nie da sie greylistingiem zalatwic spamu z systemow 'unix* like' to az
sie prosi zeby uzyc OS fingerprintingu i kosic to co faktycznie mozna
greylistingiem zatrzymac. Teraz co do poprawienia skutecznosci. Istotnym
parametrem jest czas przez jaki dana przesylka identyfikowana przez triplet
bedzie blokowana zanim greylisting ją przepuści. Z moich doswiadczen (na ta
chwile) wynika ze ustawienie tego czasu na 6 min jest optymalne. Znaczna
wiekszosc zombiakow lapiacych sie u mnie na greylisting podpina sie,
dostaje 450, rozlacza sie, podpina sie, 450, rozlacza sie ... i tak jeszcze
kilka razy. Jednak nie trwa to dluzej niz 5 min. Jesli ustawiasz ten czas
na minute ... to za malo. Jesli przepuszczasz przesylke juz przy drugiej
probie ... to lepsze to niz nic ale jest to do kitu. Dlatego to wszystko
zalezy ... ;-) Dobrze zestrojony greylisting kosi bardzo ladnie, a na
home.pl sa inne sposoby :-)

Pozdrawiam,

Mariusz
Skygge - nie pisz na ten adres!
2006-10-18 10:16:47 UTC
Permalink
[ciach!!!]Z moich
doswiadczen (na ta chwile) wynika ze ustawienie tego czasu na 6 min jest
optymalne.
Pozdrawiam,
Mariusz
Świetnie, w zasadzie o to chodzi, bo z tego co zauważyłem spamy wpadają gdy
zombie napiernicza po kilka razy to samo, za drugim razem jest wpuszczane.
Tylko... hmmm... jak to ustawić (postfix + postgrey)?
W 2 plikach do postgreya są tylko jakieś whitelisty, przeglądnąłem początek
skryptu ale nie widzę tam żadnych zadeklarowanych zmiennych, studiować
całego źródła nie będę bo się na tym nie znam.

Tak więc - jak ustawić ten czas na 6 minut?
--
...I've opened my mind and darkened my entire life...
(tak gdzieś około -2EV)
www.skygge.com, skygge.at.skygge.usunto.com
Piotr Keplicz
2006-10-18 10:25:49 UTC
Permalink
Post by Skygge - nie pisz na ten adres!
Tak więc - jak ustawić ten czas na 6 minut?
Ogólnie jest to opcja --delay, domyslnie 5 minut (czas podaje się w
sekundach). Gdzie ją ustawić, to już kwestia dystrybucji, np. w Mandrive
będzie to plik /etc/sysconfig/postgrey.

.pk.
Skygge - nie pisz na ten adres!
2006-10-18 19:55:56 UTC
Permalink
Post by Piotr Keplicz
Ogólnie jest to opcja --delay, domyslnie 5 minut (czas podaje się w
sekundach).
Dzięki. Podaje się jako parametr --delay=360
Pozdrówki,
Skygge
--
I've opened my eyes and darkened my entire life....
www.skygge.com skygge.at.skygge.usunto.com
Martin Latos
2006-10-18 22:40:48 UTC
Permalink
A ja mam pytanie odnosnie demonów greylistujacych.

Czy jakies fieczery szczególnie wyróżniają ktorys z nich? Bardzo roznia
sie miedzy sobą? Jest może gdzies zestawienie?

W tej chwili wszytkie postfixy pod moja kontrolą jada na GLD
(http://www.gasmi.net/gld.html).
Dlaczego? Juz nie pamietam, ale chyba nie znalazlem w repozytoriach
fedory postgrey'a(?), a gld prosto sie skompilowal i zintegrował z pgsql.
Czy z jakichs konkretnych powodów preferujecie jednego z demonów nad innymi?

Czirsy,
ML
Mariusz
2006-10-18 23:37:48 UTC
Permalink
Post by Martin Latos
Czy jakies fieczery szczególnie wyróżniają ktorys z nich?
Co do jakis ciekawych ficzerow to za take uwazam np. wrzucanie crc32
tripletu do logow. Dzieki temu mozna sobie grepujac badac jak reaguja
poszczegolne hosty na greylisting i dostroic opoznienie otwarcia i
dlugosc 'okna'. Drugi ficzer to greylistowanie selektywne na podstawie
fingerprintingu OS klienta. Nie wiem, ktore app do greylistingu to
implementuja. Ja akurat uzywam softu napisanego przez siebie i te dwa
ficzery (poza innymi chyba standardowymi) bardzo mi sie przydaja.

Pozdrawiam,

Mariusz
Łukasz 'LCF' Jagiełło
2006-10-19 06:50:56 UTC
Permalink
Post by Mariusz
Post by Martin Latos
Czy jakies fieczery szczególnie wyróżniają ktorys z nich?
Co do jakis ciekawych ficzerow to za take uwazam np. wrzucanie crc32
tripletu do logow. Dzieki temu mozna sobie grepujac badac jak reaguja
poszczegolne hosty na greylisting i dostroic opoznienie otwarcia i
dlugosc 'okna'. Drugi ficzer to greylistowanie selektywne na podstawie
fingerprintingu OS klienta. Nie wiem, ktore app do greylistingu to
implementuja. Ja akurat uzywam softu napisanego przez siebie i te dwa
ficzery (poza innymi chyba standardowymi) bardzo mi sie przydaja.
A podzielił byś się tym wynalazkiem ?
--
*| __ _ ___ __ |*
*| / / / ___/ __/ Łukasz Jagiełło - lcf<at>pg<dot>gda<dot>pl |*
*| / /_ / /__/ _/ I'm raving till the sweat drops has |*
*| /____/\___/_/ fallen down off me...I'm raving, I'm raving |*
Sergiusz Rozanski
2006-10-19 07:02:02 UTC
Permalink
Post by Łukasz 'LCF' Jagiełło
Post by Mariusz
implementuja. Ja akurat uzywam softu napisanego przez siebie i te dwa
ficzery (poza innymi chyba standardowymi) bardzo mi sie przydaja.
A podzielił byś się tym wynalazkiem ?
Nieodrobiona praca domowa? ;)
Przecież się dzielił i to chyba w tym miesiącu nawet.

Ja zato czekam na ciekawsze opinie w tym temacie :)
Jak to się sprawuje, bo też mam zamiar wspomóc grl p0f-em.
--
*** rozanski.at.sergiusz.dot.com sq3bkn ***
*** http://jeep.comm.pl ***
*** rtg project http://gg.overwap.net ***
Łukasz 'LCF' Jagiełło
2006-10-19 07:38:03 UTC
Permalink
Post by Sergiusz Rozanski
Post by Łukasz 'LCF' Jagiełło
Post by Mariusz
implementuja. Ja akurat uzywam softu napisanego przez siebie i te dwa
ficzery (poza innymi chyba standardowymi) bardzo mi sie przydaja.
A podzielił byś się tym wynalazkiem ?
Nieodrobiona praca domowa? ;)
Przecież się dzielił i to chyba w tym miesiącu nawet.
Ja zato czekam na ciekawsze opinie w tym temacie :)
Jak to się sprawuje, bo też mam zamiar wspomóc grl p0f-em.
A racja coś mi się przypomina o p0f-ie.
--
*| __ _ ___ __ |*
*| / / / ___/ __/ Łukasz Jagiełło - lcf<at>pg<dot>gda<dot>pl |*
*| / /_ / /__/ _/ I'm raving till the sweat drops has |*
*| /____/\___/_/ fallen down off me...I'm raving, I'm raving |*
Mariusz
2006-10-19 07:35:29 UTC
Permalink
Post by Sergiusz Rozanski
Nieodrobiona praca domowa? ;)
Przecież się dzielił i to chyba w tym miesiącu nawet.
Akurat pisalem o AISK'u, w ktorym rozne pomysly realizuje ... ale
_don't_try_it_at_home_ ;-) chyba ze wiesz co robisz. Wersja nadal
rozwojowa. Co do tego kodu co wrzucilem w perlu jakis czas temu to tylko
byla prezentacja na podstawie jakiegos tam defaultowego demona do
greylistingu jak to zintegrowac z p0f i podpiac pod postfix'a. W zasadzie
jak ktos chce to latwo mozna dodac tam te ficzery o ktorych mowilem.
Przydalo by sie jeszcze dorobic wrzucanie wpisow np. do mysql'a (teraz jest
tam uzywane Berkley DB). Rzecz gustu. Link:
http://www.tuxland.pl/misc/os-greylist.pl
Post by Sergiusz Rozanski
Ja zato czekam na ciekawsze opinie w tym temacie :)
Jak to się sprawuje, bo też mam zamiar wspomóc grl p0f-em.
Wg mnie w sprawuje sie swietnie. Wprowadzilem greylisting wspomagany p0f'em,
gdzie greylistuje to co p0f rozpoznaje jako Windows albo UNKNOWN. Statystki
pokazuja ze znaczna wiekszosc (na oko rzedu 95~99% zaleznie od serwera[1])
prawidlowego ruchu pochodzi z systemow unix* like. Jest nieznaczna ilosc
Windowsow dostarczajacych prawidlowa poczte ale mozna je whitelistowac albo
nie robic nic ;-) Poki co chyba narazie nikt ze spamerow nie grzebie przy
stosie TCP/IP zeby zafalszowac OS fp. Do tej pory nie otrzymalem _zadnych_
skarg od userow.

[1] Dotyczy to serwerow z wieloma vhostami, duzo sie dzieje, mocno
zroznicowany ruch.

PS. Sam z checia sie dowiem jak to wyglada u innych ;-)

Pozdrawiam,

Mariusz
Piotr KUCHARSKI
2006-10-20 20:50:39 UTC
Permalink
Post by Mariusz
Co do jakis ciekawych ficzerow to za take uwazam np. wrzucanie crc32
tripletu do logow. Dzieki temu mozna sobie grepujac badac jak reaguja
poszczegolne hosty na greylisting i dostroic opoznienie otwarcia i
dlugosc 'okna'.
Nie rozumiem. Po co jeszcze crc32 tripletu? Wygląda na redundantną
informację.

p.
--
http://freedns.sgh.waw.pl/ -- bezpłatny DNS.
http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów.
http://42.pl/u/ -- skracacz URL-i.
Mariusz
2006-10-21 08:30:37 UTC
Permalink
Post by Piotr KUCHARSKI
Post by Mariusz
Co do jakis ciekawych ficzerow to za take uwazam np. wrzucanie crc32
tripletu do logow. Dzieki temu mozna sobie grepujac badac jak reaguja
poszczegolne hosty na greylisting i dostroic opoznienie otwarcia i
dlugosc 'okna'.
Nie rozumiem. Po co jeszcze crc32 tripletu? Wygląda na redundantną
informację.
Zeby latwiej mozna bylo znalezc wszystkie sesje zwiazane z tripletem. Nie
majac sumy mozesz szukac po IP, po adresie kopertowym nadawcy albo adresie
kopertowym odbiorcy. Jesli masz MTA, ktore loguje te trzy informacje w
jednej lini mozesz pisac regexp'y ale to chyba przegiecie. Suma crc 32 jest
krotka, czytelna i latwo jej uzyc do przeczesywania logow. Swoja droga moze
byc uzyta do wrzucania info potrzebnego do dzialania greylistingu do bazy.
Czyli mozna wrzucac pary crc32_tripletu + czas_nadejscia. Oszczedzasz
miejsce na dysku i przyspieszasz[1] dzialanie silnika greylisty.

Dla przykladu w AISK'u suma crc32 celowo jest liczona osobno dla kazdej
czesci tripletu. Dalej jest to sklejane w 24 znakowa liczbe hex.

+--------------------------------+
| crc(ip) | crc(from) | crc(to) |
+--------------------------------+
| | |
| | -----------------------
| --------------------------- |
------------------------------ | |
| | |
Kawalek logow grepujac po 'grey': | | |
+------++------++------+
Oct 21 02:25:45 x aisk: 0386| greylisted (8eac42ffcad194f2115d3c20)
Oct 21 02:25:59 x aisk: 0387| greylisted (8eac42ffeba1b424115d3c20)
Oct 21 02:26:27 x aisk: 0389| greylisted (8eac42ffd284a78c115d3c20)
Oct 21 02:26:53 x aisk: 038A| greylisted (8eac42fffbfe791a115d3c20)
Oct 21 02:27:14 x aisk: 038B| greylisted (8eac42ff36e4dc9c115d3c20)
Oct 21 02:27:36 x aisk: 038D| greylisted (8eac42ff4dede11b115d3c20)
Oct 21 02:27:53 x aisk: 038E| greylisted (8eac42fff06ba026115d3c20)
Oct 21 02:28:13 x aisk: 038F| greylisted (8eac42ff74ce3953115d3c20)
Oct 21 02:28:24 x aisk: 0390| greylisted (8eac42ff2702d13b115d3c20)

Widac jak host sie odbija. IP sie nie zmienia, odbiorca tez, za to
generowani sa losowi nadawcy. Przychodzi mi do glowy conajmniej kilka
sposobow wykorzystania takiej sumy (lub jej czesci) wiec nie bede sie
rozpisywal.

[1] Nie wiem. Nie mierzylem. Gdybam sobie.

Pozdrawiam,

Mariusz
Piotr KUCHARSKI
2006-10-22 11:02:33 UTC
Permalink
Post by Mariusz
Zeby latwiej mozna bylo znalezc wszystkie sesje zwiazane z tripletem. Nie
majac sumy mozesz szukac po IP, po adresie kopertowym nadawcy albo adresie
kopertowym odbiorcy.
...albo po wszystkim równocześnie. A mając oddzielnie IP można się bawić
w traktowanie czasami po /32, czasami po /24. Przy crc ta informacja już
zginęła.

p.
--
http://freedns.sgh.waw.pl/ -- bezpłatny DNS.
http://nerdquiz.sgh.waw.pl/ -- polska wersja quizu dla nerdów.
http://42.pl/u/ -- skracacz URL-i.
Rafal Maszkowski
2006-10-20 08:34:24 UTC
Permalink
Post by Martin Latos
Dlaczego? Juz nie pamietam, ale chyba nie znalazlem w repozytoriach
fedory postgrey'a(?), a gld prosto sie skompilowal i zintegrował z pgsql.
W extras jest milter-greylist (dla Fedory od wersji 3).

Rzecz, której mi brakuje to możliwość łapania do logu Message-IDs odbitych
listów (żeby można było zrobić wiarygodne statystyki). Być może robiłaby to
opcja delayedreject , ale jest tylko dla listów od <>.

No i jeszcze żeby moduł mógł używać ETRN.

R.
--
Jeżeli upadnie cywilizacja zachodnia, to będzie szansa na odbudowę cywilizacji
chrześcijańskiej. (dr Stanisław Krajski, Radio Maryja, 10 X 2001)
1***@poczta.onet.pl
2006-10-24 14:21:24 UTC
Permalink
Post by Skygge - nie pisz na ten adres!
Witam.
Wczoraj rano zaimplementowałem postgreya do mojego serwerka.
Ilość spamu złapanego przez SA spadła z ok. 200-300 do 65.
Czyli jednak spamerzy się uczą i zaczynają to omijać. Wniosek stąd, że
czytałem że greylist potrafi obciąć 95% spamu a u mnie jest to ok. 67-78%.
Przypuszczam, że ta wartość z czasem pewnie będzie maleć.
a moje zdanie na temat greylista jest niezbyt pochlebne i o malo co nie
wylecialem z roboty za to ze czesc serwerow na greylist i kod 45x odpowiada
dopiero po 24h a to oznacza ze jesli prezes czekal przez godzine lub dwie na
maila z poprawkami do kontraktu na kwote bagatela 185.000 $ i musial w ciagu 2
godzin odpowiedziec armatorowi to co mialem mu tlumaczyc ze jakis greylist jest
na serwerze, co to go obchodzi poczta ma dojsc i tyle, do tej pory bylo ok a
teraz sa problemy z dojsciem poczty na serwer wg. prezesostwa.
Dlatego wydaje mi sie ze tylko SA, dobra pkt. na spamerskie maile i modlic sie
aby bylo tego ścierwa jak najmniej.
--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl
Skygge - nie pisz na ten adres!
2006-10-27 07:49:25 UTC
Permalink
Post by 1***@poczta.onet.pl
a moje zdanie na temat greylista jest niezbyt pochlebne i o malo co nie
wylecialem z roboty za to ze czesc serwerow na greylist i kod 45x
odpowiada dopiero po 24h
whitelist
--
...I've opened my mind and darkened my entire life...
(tak gdzieś około -2EV)
www.skygge.com, skygge.at.skygge.usunto.com
1***@poczta.onet.pl
2006-10-29 10:11:30 UTC
Permalink
Post by Skygge - nie pisz na ten adres!
Post by 1***@poczta.onet.pl
a moje zdanie na temat greylista jest niezbyt pochlebne i o malo co nie
wylecialem z roboty za to ze czesc serwerow na greylist i kod 45x
odpowiada dopiero po 24h
whitelist
--
zaden whitelist bo skad mam wiedziec z kim prezesik koresponduje, sa to
najczesciej rozmowy tel. a final odbywa sie emailem wiec taka poczta jest tylko
raz gora dwa razy wysylana a przeciez grey za pierwszym dobiciem sie poczty do
serwera odpowiada 45x a po drugie przeciez nie bede pytal sie z kim szanowny pan
prezes teraz koresponduje bo wie pan musze wpisac ten serwer na liste zaufanych.
--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl
Antey
2006-10-29 10:29:28 UTC
Permalink
Post by 1***@poczta.onet.pl
zaden whitelist bo skad mam wiedziec z kim prezesik koresponduje
No nie żartuj. Gmail się kłania. Host na który wysłano pocztę od Ciebie
z automatu do białej listy i tylko analiza antywirusowa, albo
przynajmniej wyjątek od greylistingu.
Post by 1***@poczta.onet.pl
przeciez nie bede pytal sie z kim szanowny pan
prezes teraz koresponduje bo wie pan musze wpisac ten serwer na liste zaufanych.
Nie musisz przecież. Trochę sam nie dawno google'ałem - są rozwiązania
do analizy logów w czasie quasi-rzeczywistym. W mniej niż minute i tak
nikt nie odpowie...

Pozdrawiam, Antey
Andrzej Adam Filip
2006-10-29 10:45:07 UTC
Permalink
Post by 1***@poczta.onet.pl
Post by Skygge - nie pisz na ten adres!
Post by 1***@poczta.onet.pl
a moje zdanie na temat greylista jest niezbyt pochlebne i o malo co nie
wylecialem z roboty za to ze czesc serwerow na greylist i kod 45x
odpowiada dopiero po 24h
whitelist
zaden whitelist bo skad mam wiedziec z kim prezesik koresponduje, sa
to najczesciej rozmowy tel. a final odbywa sie emailem wiec taka
poczta jest tylko raz gora dwa razy wysylana a przeciez grey za
pierwszym dobiciem sie poczty do serwera odpowiada 45x a po drugie
przeciez nie bede pytal sie z kim szanowny pan prezes teraz
koresponduje bo wie pan musze wpisac ten serwer na liste zaufanych.
Co za problem wyłączyć *wybranych* userów z greylistingu?

Klasyczny greylisting działa dopiero w odpowiedzi na "RCPT TO:",
więc jest to "implementowalne".
--
Andrzej Adam Filip -- ***@priv.onet.pl -- ***@xl.wp.pl
1***@poczta.onet.pl
2006-10-29 11:28:00 UTC
Permalink
Post by 1***@poczta.onet.pl
Post by Skygge - nie pisz na ten adres!
Post by 1***@poczta.onet.pl
a moje zdanie na temat greylista jest niezbyt pochlebne i o malo co nie
wylecialem z roboty za to ze czesc serwerow na greylist i kod 45x
odpowiada dopiero po 24h
whitelist
zaden whitelist bo skad mam wiedziec z kim prezesik koresponduje, sa
to najczesciej rozmowy tel. a final odbywa sie emailem wiec taka
poczta jest tylko raz gora dwa razy wysylana a przeciez grey za
pierwszym dobiciem sie poczty do serwera odpowiada 45x a po drugie
przeciez nie bede pytal sie z kim szanowny pan prezes teraz
koresponduje bo wie pan musze wpisac ten serwer na liste zaufanych.
Co za problem wyĹ&#65533;Ä&#65533;czyÄ&#65533; *wybranych* userĂłw z greylistingu?
Klasyczny greylisting dziaĹ&#65533;a dopiero w odpowiedzi na "RCPT TO:",
wiÄ&#65533;c jest to "implementowalne".
a widzisz to zmienia postac rzeczy, czyli jestem za a nawet ..., za ;)
--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl
Loading...