[mdk-re] SPAM ((

[mdk-re] SPAM ((

[Alexey Verin]

Hello mandrake-russian,

      Мне надо на сервере что нить против spam'a прикрутить. Может кто
      нить поделиться готовыми решениями.     ?
      

-- 
Best regards,
 Alexey                          mailto:creat@1ps.ru

[mdk-re] Re: SPAM ((

[Mikhail Zabaluev]

Hello Alexey,

On Mon, Nov 26, 2001 at 02:20:05PM -0800, Alexey Verin wrote:
>
>       Мне надо на сервере что нить против spam'a прикрутить. Может кто
>       нить поделиться готовыми решениями.     ?

Где прикрутить -- на почтовом сервере или на клиенте?

-- 
Stay tuned,
  MhZ                                     JID: mookid@jabber.org
___________
linux: the choice of a GNU generation
(ksh@cis.ufl.edu put this on Tshirts in '93)

Re: [mdk-re] Re: SPAM ((

[Alexey Verin]

Hello Mikhail,

Sunday, November 25, 2001, 11:05:30 PM, you wrote:

MZ> Hello Alexey,

MZ> On Mon, Nov 26, 2001 at 02:20:05PM -0800, Alexey Verin wrote:
>>
>>       Мне надо на сервере что нить против spam'a прикрутить. Может кто
>>       нить поделиться готовыми решениями.     ?

MZ> Где прикрутить -- на почтовом сервере или на клиенте?
  написал же на сервере )



-- 
Best regards,
 Alexey                            mailto:creat@1ps.ru

[mdk-re] Re: SPAM ((

[Mikhail Zabaluev]

[-- Attachment #1: Type: text/plain, Size: 4412 bytes --]

Hello Alexey,

On Mon, Nov 26, 2001 at 03:30:42PM -0800, Alexey Verin wrote:
>
> >>       Мне надо на сервере что нить против spam'a прикрутить. Может кто
> >>       нить поделиться готовыми решениями.     ?
> 
> MZ> Где прикрутить -- на почтовом сервере или на клиенте?
>   написал же на сервере )

Извините, не выспался :) Вот вам зачатки antispam-howto. Комментарии
приветствуются, я хочу сделать из этого недетскую статью.


В postfix есть возможность сверять IP-адреса с DNS-базой блокировщиков
спама типа RBL. Ищите "rbl" в документации Postfix.

На одном из серверов, где у меня есть адрес, почтовый сервер exim
настроен так, что выставляет специальный заголовок в сообщениях,
которые приходят с "засвеченных" в RBL хостов. Пользователь волен
фильтровать сообщения по своему усмотрению. Я изредка делаю grep по
'^(From|Subject):' над папкой, куда у меня сваливаются такие сообщения,
и вижу там только спам. Работает хреновина :)

Но это не спасает от "свежих" спаммеров. Заявляю сразу, молчаливую
фильтрацию я не считаю решением: это не уменьшает объем рассылаемого
спама, а расходы провайдеров на траффик ложатся угадайте на чьи шеи?..
Для активной борьбы у меня есть скрипты, которые по поступившему на
вход сообщению генерируют отчет и отсылают по адресам, указанным в
командной строке. Этими скриптами удобно пользоваться в
Mutt. См. приложенные spam-notify и relay-notify (они отличаются
только текстом сообщений, мне было лень делать один настраиваемый
скрипт :)).

Жалобы нужно слать на адрес провайдера, услугами которого
пользуется спаммер. Вычислить провайдера не так-то просто. Для этого
нельзя пользоваться полем "From:" (или "From" из SMTP-конверта). Нужно
заглянуть в полные заголовки сообщения и найти там поле "Received:",
которое поставил сервер входящей почты вашего провайдера (его имя
стоит после слова "by"). Анализировать нужно адрес, откуда сообщение
было получено (после слова "from"). Если доменного имени нет, или их
указано два, и/или одно получено из строки helo, нужно использовать
истинное имя, которое можно узнать с помощью reverse DNS lookup,
например, командой "dig -x <IP-адрес>" (пакет bind-utils). Иногда DNS
не помогает (на всякий случай можно еще посмотреть подсеть класса С),
но провайдера можно узнать с помощью whois на соответствующем
регистраторе (напр. для Кореи -- whois.krnic.net, для Китая и
остальной Ю.-В. Азии -- whois.apnic.net).  Иногда полезно запустить
traceroute до данного адреса и посмотреть на последние узлы в
цепочке. Узнав доменное имя провайдера, например, bigbuckisp.net,
можно предположить, что адрес для "жалоб и предложений" есть
abuse@bigbuckisp.net. Либо воспользоваться сервисом abuse.net, на
котором есть база таких адресов: "fwhois
bigbuckisp.net@whois.abuse.net". Либо поручить работу самому
abuse.net, отправив жалобу на bigbuckisp.net@abuse.net -- робот будет
пробовать все известные ему адреса и стандартный postmaster, потом
вверх по доменной/провайдерской иерархии, пока не сдастся. Есть другой
автомат-жалобщик, совмещенный с блокировщиком, на spamcop.net.
Говорят, хороший, но лично я от него не добился положительного
результата в те несколько раз, когда пробовал им пользоваться.

Если адрес оператора не реагирует на продолжающиеся протесты с вашей
стороны, но и не отражает сообщения по причине "адресат выбыл/умер/в
списках не значится/ушла на базу", можно взять их измором: настроить
на сервере .procmailrc, чтобы сообщения от спамера, пришедшие через
этого провайдера (тут важно не перебрать с широтой охвата фильтра),
отправлялись на адрес оператора с добавленными комментариями на тему
"что делать". Скрипт по имени spam-forward прилагается.  Можете
представить, что вызывает большее желание решать проблему: письма
живого юзера, который покричит-побранится, да и отстанет, или
неумолимое "automatically generated spam alert" ;) Даже если на том
конце все уходит в /dev/null, польза будет: вы фактически
отфильтровываете спам.

Наконец, можно настрочить кляузу в один из сервисов блокировки спама.
Для оповещения RBL требуется оформлять доклад по строгим правилам
(см. http://www.mail-abuse.org), собирать улики и подшивать к делу
свою переписку с провайдерами. Непросто, но им ведь не хочется
париться в судах и проигрывать дела.

-- 
Stay tuned,
  MhZ                                     JID: mookid@jabber.org
___________
The number of arguments is unimportant unless some of them are correct.
		-- Ralph Hartley

[-- Attachment #2: spam-notify --]
[-- Type: text/plain, Size: 941 bytes --]

#!/bin/bash
#
# Forwards spam with a complain to one or more destinations supplied
# in the command line.
#

if [ $# == 0 ]; then
	echo "Usage: $0 addr ..." >&2
	exit 1
fi

msgfile="$(mktemp -t spam-notify.XXXXXX)"

# Put the beginning of the message into the temporary file
head -c 8k >"$msgfile"

# Ditch the rest of the message
cat >/dev/null

subject="SPAM ALERT [$(formail -c -x From: < "$msgfile"): $(formail -c -x Subject: < "$msgfile")]"

mutt -s "$subject" -a "$msgfile" "$@" <<EOF
Hello,

I received an unsolicited email message from a host that appears as
belonging to your network. I never requested or subscribed to such
deliveries, and I don't want them to bother me again. A part of the
abusive message, including email headers, is attached herein. I hope
this will provide enough information for you to take steps that
will prevent further abuse.
Thank you for your time.

With best regards,
  Mikhail.
EOF

rm -f "$msgfile"

[-- Attachment #3: relay-notify --]
[-- Type: text/plain, Size: 878 bytes --]

#!/bin/bash
#
# Forwards spam with a complain to one or more destinations supplied
# in the command line.
#

if [ $# == 0 ]; then
	echo "Usage: $0 addr ..." >&2
	exit 1
fi

msgfile="$(mktemp -t spam-notify.XXXXXX)"

# Put the beginning of the message into the temporary file
head -c 8k >"$msgfile"

# Ditch the rest of the message
cat >/dev/null

subject="RELAY ALERT [$(formail -c -x From: < "$msgfile"): $(formail -c -x Subject: < "$msgfile")]"

mutt -s "$subject" -a "$msgfile" "$@" <<EOF
Hello,

I received an unsolicited message from what appears to be a host in
your network. This host is probably misconfigured to have an open
email relay.  Here I attach the message, including email headers. I
hope this will provide enough information for you to take steps that
will prevent further abuse.  Thank you for your time.

With best regards,
  Mikhail.
EOF

rm -f "$msgfile"

[-- Attachment #4: spam-forward --]
[-- Type: text/plain, Size: 1046 bytes --]

#!/bin/bash
#
# Procmail helper to bounce spam messages.
#
# Usage in procmail:
#
# :0
# * ^From .*\.spammer\.com
# * ^Received: .*\.provider\.net
# | spam-forward -s '[SPAM ALERT] Oops, they did it again' \
#      postmaster@provider.net
#

[ "$SENDMAIL" = "" ] && SENDMAIL=/usr/sbin/sendmail
[ "$SENDMAILFLAGS" = "" ] && SENDMAILFLAGS=-oi

subject='[SPAM ALERT]'
while getopts s: opt; do
    subject="$OPTARG"
done

shift $(( $OPTIND - 1 ))

dest="$*"
if [ -z "$dest" ]; then
    echo "Usage: $0 [-s subject] recipient ... <message" >&2
    exit 1
fi

to_line="${*/%/,}"
to_line="${to_line%,}"

(   cat <<EOF
From: $LOGNAME
To: $to_line
Subject: $subject
X-BeenThere: $LOGNAME@$HOST
Precedence: bulk
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit

Hello,

This is an automatically generated spam alert.
Feel free to contact me if you have any issues related to this.
The (partial) listing of the message that triggered it
is included below.


EOF
    head -c 8k
    cat >/dev/null
) | $SENDMAIL $SENDMAILFLAGS $dest

Re: [mdk-re] [JT] (MhZ) SPAM ((

[Michael Shigorin]

On Tue, Nov 27, 2001 at 01:54:34AM +0300, Mikhail Zabaluev wrote:
> командной строке. Этими скриптами удобно пользоваться в
> Mutt. См. приложенные spam-notify и relay-notify (они отличаются
Вот можно еще кусочки из ~/.mutt для ленивых? :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ http://visa.chem.univ.kiev.ua/~mike/

[mdk-re] Re: [JT] (MhZ) SPAM ((

[Mikhail Zabaluev]

[-- Attachment #1: Type: text/plain, Size: 616 bytes --]

Hello Michael,

On Tue, Nov 27, 2001 at 09:43:59AM +0200, Michael Shigorin wrote:
>
> On Tue, Nov 27, 2001 at 01:54:34AM +0300, Mikhail Zabaluev wrote:
> > командной строке. Этими скриптами удобно пользоваться в
> > Mutt. См. приложенные spam-notify и relay-notify (они отличаются
> Вот можно еще кусочки из ~/.mutt для ленивых? :)

В .mutt по этому поводу ничего нет -- я руками набираю "|", имя
команды, адрес. 

Приложу лучше .procmailrc с сервера.

-- 
Stay tuned,
  MhZ                                     JID: mookid@jabber.org
___________
Lots of folks confuse bad management with destiny.
		-- Frank Hubbard

[-- Attachment #2: .procmailrc --]
[-- Type: text/plain, Size: 1436 bytes --]

MAILDIR=$HOME/Mail/

ME=(mhz@(altlinux\.ru|alt-linux\.org|linux\.ru\.net)|mookid@(mu|sigent)\.ru)

EXITCODE=67

# Trash all huge messages not addressed to me
:0
* >30000
* !$^TO_$ME
/dev/null

# Deal with messages that got clear signs of spam
:0
* ^(X-RBL-Warning|X-Bulkmail):|^X-Mailer: .*(SoftForum-WebMail|NetPIMS Merge & Group Mailer|em5000)
{
	:0
	* >10000
	/dev/null

	:0 :
	spam
}

# Process my dear frequent posters ;)
:0
* !$^X-BeenThere: $LOGNAME@
{
	:0
	* ^From .*\.responsebase\.com
	* ^Received: .*\[65\.203\.
	| $HOME/bin/spam-forward -s '[SPAM ALERT] Oops, they did it again' \
		abuse-mail@uu.net

	:0
	* ^From .*\.einfodirect\.com
	* ^Received: .*\.iexpect\.com
	| $HOME/bin/spam-forward -s '[SPAM ALERT] Oops, they did it again' \
		postmaster@iexpect.com

	:0
	* ^From .*News@MailSRV\.BidBay\.com
	* ^Received: .*\.bidbay\.com
	| $HOME/bin/spam-forward -s '[SPAM ALERT] Oops, they did it again' \
		postmaster@bidbay.com postmaster@primenet.com

	:0
	* ^Received: .*\[168\.126\.3\.
	| $HOME/bin/spam-forward -s '[SPAM ALERT] Oops, they did it again' \
		postmaster@kornet.net

	:0
	* ^From .*free4all\.com
	* ^Received: .*\[194\.177\.140
	| $HOME/bin/spam-forward -s '[SPAM ALERT] Oops, they did it again' \
		postmaster@telekomaustria.com

	:0
	* ^From (zrzhou@home\.swjtu\.edu\.cn|wenhaoshan@sohu\.com)
	| $HOME/bin/spam-forward -s '[SirCam alert] Oops, they did it again' \
		postmaster@swjtu.edu.cn
}

EXITCODE=0

Re: [mdk-re] Re: SPAM ((

[S. Budnevitch]

On Tue, Nov 27, 2001 at 01:54:34AM +0300, Mikhail Zabaluev wrote:
> bigbuckisp.net@whois.abuse.net". Либо поручить работу самому
> abuse.net, отправив жалобу на bigbuckisp.net@abuse.net -- робот будет

   Лучше не поручать: жалобы от spamcop'а и abuse.net часто приходят не
туда, куда надо, и само спамерское послание иногда уродуют невообразимо.

Re: [mdk-re] Re: SPAM ((

[Andrey Brindeew]

[-- Attachment #1: Type: text/plain, Size: 447 bytes --]

On Fri, 30 Nov 2001 04:00:59 +0300
"S. Budnevitch" <budnevitch@mail.mtu.ru> wrote:

>    Лучше не поручать: жалобы от spamcop'а и abuse.net часто приходят не
> туда, куда надо, и само спамерское послание иногда уродуют невообразимо.

Странно. Если я правильно ошибаюсь, то любой спам с ваших (МТУ-Интел)
диалапных пулов шел прямиком на abuse@mtu.ru

-- 
WBR, Andrey Brindeew.
"No one person can understand Perl culture completely"
(C) Larry Wall.

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[mdk-re] Re: SPAM ((

[Mikhail Zabaluev]

Hello Andrey,

On Fri, Nov 30, 2001 at 10:36:02AM +0300, Andrey Brindeew wrote:
>
> On Fri, 30 Nov 2001 04:00:59 +0300
> "S. Budnevitch" <budnevitch@mail.mtu.ru> wrote:
> 
> >    Лучше не поручать: жалобы от spamcop'а и abuse.net часто приходят не
> > туда, куда надо, и само спамерское послание иногда уродуют невообразимо.
> 
> Странно. Если я правильно ошибаюсь, то любой спам с ваших (МТУ-Интел)
> диалапных пулов шел прямиком на abuse@mtu.ru

[whois.abuse.net]
postmaster@mtu.ru (for mtu.ru)
support@mtu.ru (for mtu.ru)

Действительно, иногда не вяжет. Лучше сначала попробовать abuse@, если
не дошло, посылать через abuse.net

-- 
Stay tuned,
  MhZ                                     JID: mookid@jabber.org
___________
Paranoia is simply an optimistic outlook on life.