Libertonia
Portada · Todo · Software Libre · Desarrolladores · Comunidad · Internet · Tecnología · Meta · Diarios
PC's = spammers

pbenavent's Diary
Por pbenavent
departamento ya lo decia yo.... , Sección Diarios
Puesto a las Wed Jun 9th, 2004 at 08:17:59 AM CET
Hace algún tiempo que escribo de esto en mi diario. Tu vecino -o la rubia- es un spammer.

 


Últimente escribo más en mi bitácora en inglés que en otras (no la lee nadie y escribo más sueltecito para practicar inglés).

Allí comenté hace poco quién escribia los virus a mi juicio. Antes comenté acerca de sasser, pero empecé a quejar de la actividad de los virus este año mucho antes.

La cosa está clara. Las soluciones anti-spam basadas en Black-list NO funcionan siempre o al 100%. Los spammers toman una IP de un ISP, hasta que el ISP se da cuenta (generalmente se lo dicen) que esa IP está siendo utilizada para Spam, el spammer envia a torrentera todo el correo que puede (os ahorro detalles). Para cuando esa IP está en las Black-list el mismo spammer utiliza otra.

Parece que lo que está claro es que no podemos bannear todas las IP's de internet. Luego el spammer hace eso, utilicemos todas las IP de Internet para bannear convirtiendo todos los Hasefroch del mundo en equipos zoombies controlados por nosotros para eso. Suena monstruoso? es así.

Los mejores virus son los que no se notan, no degradan el rendimiento y permiten el control remoto del equipo -troyanos- para que el spammer haga lo que plazca.

¿Quién sufre las consecuencias? Los BOFHers de internet (leed Adminspotting) que se rompen las meninges perjeñando maneras de resolver el problema:
- servidores con relay cerrado,
- verificación de cabeceras Received,
- nuevos protocolos que preguntan si la IP emisora está pertenece a un registro MX válido ...

< Gnome 2.6.1 en Debian Sid (3 comments) | Las patentes de Microsoft (14 comments) >
Enlaces Relacionados
· bitácora en inglés
· quién escribia los virus
· acerca de sasser
· actividad de los virus este año
· Adminspotting
· More on pbenavent's Diary
· Also by pbenavent

Menu
· crear cuenta
· FAQ
· búsqueda
· Fuentes de Noticias

Login
Nueva cuenta
Usuario:
Contraseña:

Ver: Modo: Orden:
PC's = spammers | 11 comentarios (11 temáticos, editoriales, 0 ocultos)
Mis métodos anti-SPAM y diversas opiniones (none / 0) (#1)
por melenas a las Wed Jun 9th, 2004 at 10:12:20 AM CET
(Información Usuario)

- servidores con relay cerrado,
- verificación de cabeceras Received,
- nuevos protocolos que preguntan si la IP emisora está pertenece a un registro MX válido ...



Yo a esas medidas también añadiría comprobación de palabras y/o frases claramente spam tanto en la cabecera como en el cuerpo del correo además de exceso de caracteres raros y otros más.

No uso filtro anti-spam ninguno en el lado cliente, prefiero hacerlo en el servidor pues considero que si el mensaje es procesado por el servidor, has perdido la primera batalla, el spam ha llegado.

También es cierto que apenas tengo 2 o 3 cuentas útiles en el servidor y puedo comprobar "manualmente" que no pongo filtros demasiado estrictos, aunque algunos amiguetes míos insistan en ponerle un nombre no cualificado a su servidor de correo.

Aún así, recibo de vez en cuando algunos correos basura sin sentido que supongo que lo único que quieren es confundir a los sistemas bayesanos para que posteriormente reconozcan correos válidos también como spam, o sea, joder a la gente.

Sinceramente, no creo que esto acabe hasta que no se tome en serio cambiar los protocolos de envío de correo a uno que impida o haga más difícil el envío indiscriminado de correo, creo que ya hay RFC explicando métodos alternativos.


FDO. ER_MELENAS No te preguntes sólo que puede hacer el S.L. por ti sino también que puedes hacer tú por él.


SPAM, comprobación de palabras y mi preferencia (none / 0) (#2)
por pbenavent a las Wed Jun 9th, 2004 at 11:55:09 AM CET
(Información Usuario) http://www.benavent.org

Me cuestiono la comprobación de palabras por que en los últimos meses recibo spam con cuerpos de mensaje llenos de palabras válidas al principio del correo y después el spam.

Salvando las distancias, es algo así como un ataque de fuerza bruta contra los diccionarios de palabras. Es como si los spammers dijesen: no podeis incorporar en vuestros diccionarios todas las palabras de vuestra lengua...

Mi preferencia pasa, como tú apuntas por trabajar en el MTA, y aún forjandome una opinión respecto a cual sería el mejor de los métodos. Me gusta el asunto de seguir las cabeceras Received:, en concreto cuando la que designa qué PC envió el correo continene por ejemplo:
XX@return01.dummy.com
y el Return-Path es: unfulano@victima.com

... ojo, que no tengo una opinión cerrada al respecto...y hay cosas como SPF que no tengo noticias como de implantadas están...pero que parece llenan de buenas intenciones...

--
"El hombre es la medida de todas las cosas"
Protágoras
[ Padre ]


Pocas se me cuelan. (none / 0) (#3)
por La Mula Francis (la.mula.francisCHIRIVITAgmail.com) a las Wed Jun 9th, 2004 at 03:07:08 PM CET
(Información Usuario) http://semana.org

Me cuestiono la comprobación de palabras por que en los últimos meses recibo spam con cuerpos de mensaje llenos de palabras válidas al principio del correo y después el spam. Yo tengo puesto dos antispam. Primero procesa el spamassasin, y después el bogofilter. Se cuelan 4 de cada 100, y bajando :)




Hiiiiiiiii haaaaaaaaaaa!hiiiiiiiiiii haaaaaaaaaaaaa!
[ Padre ]


Ese pedazo de sysadm (none / 0) (#4)
por pbenavent a las Thu Jun 10th, 2004 at 07:58:04 AM CET
(Información Usuario) http://www.benavent.org

Eres un BOFH. No uno, sino DOS filtros antispam... enhorabuena... ¿por cierto alguién se anima a hacer un articulito sobre spamassasin?

--
"El hombre es la medida de todas las cosas"
Protágoras
[ Padre ]


Oh! venga, sin risas. (none / 0) (#5)
por La Mula Francis (la.mula.francisCHIRIVITAgmail.com) a las Thu Jun 10th, 2004 at 08:56:21 AM CET
(Información Usuario) http://semana.org

A mi me funciona, y de bofh no tengo nada, pero es que absolutamente nada.




Hiiiiiiiii haaaaaaaaaaa!hiiiiiiiiiii haaaaaaaaaaaaa!
[ Padre ]


 
No te metas con él... (none / 0) (#9)
por jamarier a las Fri Jun 11th, 2004 at 04:42:27 PM CET
(Información Usuario) http://barbacana.net/blog/

Que yo hago igual. Tras muchas pruebas sobre listas negras, blancas y pancolores. Tras mi gran fracaso con la gran esperanza crm114, he vuelto a la configuración de spamassasin+bogofilter (en ese orden).

Si, ya sé, spamassasin (SA) tiene un filtro bayesiano con lo que el bogofilter no debería de ser necesario. Debería por tanto bajar el límite de SA para que fuese más extricto. Aunque así posiblemente fallaría con correos buenos situados en el borde....

Diario de abordo del la nave interestelar U.S. Linux: hacer un script que analice la distribución de puntuaciones a los correos no spam archivados para determinar cual sería un límite aceptable para el SA

Respecto al tutorial, apunta:
apt-get install spamassasin
MHAHAHAHAHAHA!!!!!

(más en serio, yo sigo la recomendación de los programadores: aunque se pueden tocar los pesos de cada control y otros detalles, lo mejor es no tocar nada).

-----
- Porque mañana será un gran día.
[ Padre ]



 
Las listas negras funcionan bastante bien (none / 0) (#6)
por jorginius ("jorginius" en Google Mail) a las Thu Jun 10th, 2004 at 11:23:11 AM CET
(Información Usuario) http://www.rodriguezmoreno.com

Entiendo los problemas que comentas pero el caso yo antes usaba bayesianos, ahora me he pasado a listas negras en el servidor y, en dos meses, no ha habido ni un problema.

Al principio lo tuve a prueba, reenviandome todos los mensajes que en principio debían ser filtrados. Después de estar dos semanas revisando entre 30 y 50 mensajes de spam diarios (es un servidor pequeño) vi que la efectividad era del 100% o casi: ningún falso positivo, sin filtrar mensajes de gusanos ni cualquier otro que no fuera estríctamente spam.

En fin, que no sé como escalará pero en todo este tiempo no he pasado ningún mensaje de spam por el servidor así que, en principio, lo de las listas negras funciona igual al menos que los bayesianos. Uso el servicio de SpamCop.net.

También tengo configurada una lista negra de relays abiertos (aunque la verdad es que no filtra nada de lo que me llega) y al final inhabilité la petición de la resolución inversa de nombres: esto último también es mano de santo para el spam, el problema está en que te llevas por delante también un montón de correo légitimo. Por desgracia, servidores DNS mal configurados los hay a paladas en Internet :-(



¿Y las listas grises? (none / 0) (#7)
por Draco a las Thu Jun 10th, 2004 at 05:04:59 PM CET
(Información Usuario)

No, no va de coña. Consiste en rechazar el correo durante un tiempo cuando te llega por primera vez de unos determinados servidor SMTP-desde-para. Al parecer los spammers no reenvían el correo cuando reciben un "No-entregable".

¿Alguien las ha probado? Parecen menos agresivas, aunque pueden ser una putada para la gente que no usa servidores SMTP "permanentes".
There are two major products to come out of Berkeley: LSD & BSD Unix. I don't believe this to be a coincidence.
[ Padre ]


Pues no sé yo... (none / 0) (#8)
por jorginius ("jorginius" en Google Mail) a las Thu Jun 10th, 2004 at 09:30:04 PM CET
(Información Usuario) http://www.rodriguezmoreno.com

No sé si esto funcionará.

He visto algunos spammers (al menos uno) que se dedican a reintentar las conexiones rechazadas cada dos segundos o así durante horas (lo que al final provoca que la pobre máquina, algo así como un 486 con esteroides, se cuaje: no responde a nada hasta que amaina el temporal).

Si ya el servidor se nos cae cada dos por tres por la perfídia de la compañía eléctrica, ya ni te cuento si encima tenemos que sufrir spammers con afición al mailbombing. Imagino que habrá alguna opción con el Postfix para parar esto y que miraré después de los exámenes (o en el cortafuegos pf o rechazando los intentos de otra forma, no sé: estamos abiertos a sugerencias).

Vamos, que no todos los programas de spamming "disparan y olvidan". Esto de las listas grises puede estar bien, como mucho, para hacer una criba previa y quitarle carga al bayesiano, pero poco más.

Me lo apunto de todas formas :-).

[ Padre ]


Rate Limiting (none / 0) (#10)
por iarenaza a las Sat Jun 12th, 2004 at 02:02:47 PM CET
(Información Usuario) http://www.escomposlinux.org/

No sé como se puede hacer con pf (o si se puede, puesto que nunca lo he mirado), pero con ipfilter (iptables), puedes usar el modulo 'limit' para filtrar esos intentos de conexion persistentes.

Ademas en el patch-o-matic (http://www.netfilter.org/patch-o-matic/pom-base.html) de iptables, tienes un patch que te permite limitar un numero máximo de conexiones por IP cliente, que algo ayudará seguro...

Saludos. Iñaki.

[ Padre ]


pf y las costrumbres de obsd (none / 0) (#11)
por ridiculum a las Sat Jun 12th, 2004 at 03:46:21 PM CET
(Información Usuario)

La gente de obsd suele ser bastante reacia a meter cosas superfluas (o que ellos consideran superfluas) en el kernel. Lo mas parecido que hay al rate-limit que yo he podido ver es limitar el numero maximo de conexiones, pero claro esto no es ni parecido a limitar la tasa de llegada de estas.

He encontrado un hilo de 2002 donde comentaban esto (es de la epoca de obsd 3.0)

No he visto nada posterior, lo que no significa que no exista.

[ Padre ]


 
PC's = spammers | 11 comentarios (11 temáticos, editoriales, 0 ocultos)
Ver: Modo: Orden:

ecol Logo Powered by Scoop
Todas las Marcas Registradas y copyrights de esta página son propiedad de sus respectivos dueños.
Los comentarios son propiedad del que los escribe.
Los iconos de las noticias y el logotipo son propiedad de Javier Malonda.
El Resto © 2002 Escomposlinux.org y aledaños.

Puedes sindicar los contenidos de libertonia en formato RSS 1.0 y RDF 0.9. También se puede sindicar la cola de envíos pendientes de moderación.

El proyecto escomposlinux.org está dedicado a la memoria de tas

crear cuenta | faq | búsqueda