Антиспам обученность

Статус
Закрыто для дальнейших ответов.

Alexey Shadrin

Участник
Топикстартер
Сообщения
9 258
Реакции
1 188
Добрый день!
Вопрос по антиспам-фильтру.
У меня давно и честно пашет AntispamSniper for TheBat! 2.5.0.2.
Накопил порядочно данных и очень неплохо обучился.
Но где хранится файл(ы) обученности? Дело в том, что хотел бы перенести их на два дополнительных компьютера.
Спасибо!
 
Ответ: Антиспам обученность

Про этот не скажу, но стандартный Батовский:
Свойства - настройка
Там выбираем фильтр, идём в его настройки.
Параметры.
Там есть и пути.

Вообще они лежат либо в папке самого бата, либо в почте.
Такой огромный гадкий файлище.
У меня:
C:\The Bat!\bayesit
 
Ответ: Антиспам обученность

Старый-то какой... Уже 3-я версия вышла.
Что было в ранних - подзабыл. В третьей, в настройках есть таб Filtering и в нем подраздел Black (Rules, List of e-mail addresses и т.д.). Списки правил можно открыть и экспортировать (а затем импортировать) в xml.
 
Ответ: Антиспам обученность

Всем огромное спасибо!
Разобрадся, обновился до 3-й. на днях куплю Pro.
Спасибо!
 
Ответ: Антиспам обученность

Про -- полезная вещь. У меня каждый день мегабайта по 2-3 спама удаляется на сервере, без приема на комп.
Кстати, если речь шла о "Черном списке e-mail адресов", то он практически бесполезен -- обратные адреса спам-писем никогда не повторяются.
 
Ответ: Антиспам обученность

Там есть другой приход...
Дело в том, что если посмотреть на мешок спама, то можно обнаружить, что у весьма большого процента в поле To: и разных CC: отсутствует адрес назначения.
Когда я это обнаружил, то поставил CMS (Courier Mail Server), который позволяет не принимать почту предназначенную неизвестно кому и грохать её прямо на сервере.

CMS поддерживает бесплатно 3 почтовых ящика. В личных целях это более, чем достаточно.
Я построил прокрутку почты и него через Spamohilator (кажется так), бесплатный спам фильтр. Обучил по базе спама, которая накопилась и по базе нормальных писем. В общем CMS принимает почту, потом её забирает Spamohilator и отдаёт обратно уже без спама. Позже я её забираю с CMS.

P.S. Я в конторе тоже в результате CMS поставил. Благо, что 3-х общих ящиков нам более чем достаточно. Работает как часы.
 
Ответ: Антиспам обученность

И вообще... Почту можно собирать Google Mail. Там вполне не слабый спам фильтр.
Потом получать на свой ящик уже чистую.

При этом GMail использовать как бэкап для почты и для работы вне дома.
очень удобно.
Плюс вложенные файлы можно получать не в теле письма, а как собственно файлы (серьёзная экономия трафика).
 
Ответ: Антиспам обученность

На работе юзаю MDaemon. Очень неплохая штуковина. Можно задать весьма жесткие правила для фильтрации спама по PTR/MX/HELO записям. У спам-ботов обычно обратной зоны DNS нет или она не соответствует HELO/MX. Плюс обучение, черные списки итд итп.
 
Ответ: Антиспам обученность

TRANTOR
Сикоко, сикоко он стоит?

Да и для дома (частного использования) жирновато однозначно.

Ага... Я его тоже использовал (вместе с Kerio Win Route). Решил, что по последним веяниям лучше держаться подальше.

Лучше конечно поднять гейт и почтовый сервер в купе на Linux, но у меня мозги на такое уже, к сожалению, не способны.

P.S. Я всю сеть перевёл на Traffic Inspector (15 рабочих мест купил, кстати 3 пользователя тоже бесплатно и смысл имеет, т.к. ко всему прочему фаервол и трафик считает, правда ориентация больше на билинг, чем на статистику) и CMS, 3 почтовых ящика (внутренних, со внешних он со скольких угодно может собирать) бесплатно.

Локальные ящики - проблемы пользователей. Они могут и локально получать, а на общие пары хватает.
 
Ответ: Антиспам обученность

TRANTOR сказал(а):
На работе юзаю MDaemon.
Кстати, недавно начали бесплатно раздавать для домашних юзеров — с лицензией на 5 ящиков. Я как раз думал организовать на его базе единую спамоловку (чтоб не каждый сам своего байеса обучал + там ещё SpamAssassin), но, увы, в «домашней» версии как раз нет спам-фильтра (если я правильно понял таблицу сравнения), и нельзя забирать почту с нескольких серверов в один ящик (MultiPOP). А в довершение всего вырезан IMAP, что как раз в контексте куч спама несколько неразумно.
 
Ответ: Антиспам обученность

Samsonov сказал(а):
А в довершение всего вырезан IMAP, что как раз в контексте куч спама несколько неразумно.
К сожалению, да. Без IMAPа затевать МДемона не сильно интересно, имхо.

Хотя довольно важные антиспамовые фичи есть:

IP shielding
Trusted IPs and hosts
PTR, HELO and MAIL reverse lookup validation


Не по теме:
Я про МДемона в общем контексте, так сказать, упомянул. Дескать, хорошая прога. Цены ценами, но этот вопрос каждый решает сам для себя в меру своих возможностей. Или испорченности. '))'
 
Ответ: Антиспам обученность

Вот как раз по ПТР резать -- вешалка. У подавляющего большинства мелких почтовых доменов он или не настроен, или настроен неправильно, а терять почту -- последнее дело.

На самом деле 99,99% ботов на текущий момент отшиваются по проверке ХЕЛО/ЭХЛО -- в мдемоне это хостскрининг. Тридцать правил (из-за перебора цифр 0...9 по два варианта плюс отстрел зарезервированных имён) -- и сразу станет гораздо спокойнее. Отшиваем тех, у кого домен первого уровня начинается или заканчивается цифрой, потом отшиваем дсл/диалапщиков по маске *-*-* и потом запрещаем все вариации имени своего собственного домена, потом localhost и localdomain в всех комбинациях, и свои цифровые ипы.

Далее вступает в действие тяжёлая артиллерия по днсбл, подбираем вменяемые ордб-серверы.

Ну а на байеса уже приходится по считанным десяткам писем в день разобраться. Типа последний эшелон, добивать раненых ;)
 
Ответ: Антиспам обученность

SINL сказал(а):
Отшиваем тех, у кого домен первого уровня начинается или заканчивается цифрой
То есть имеется в виду не «домен», а HELO-аргумент? Мне кажется, что вероятность неправильной настройки HELO на легитимном сервере (или даже на уровне самой логики софта) выше, чем вероятность неправильного настроенного софта у спамера — спамеры-то гораздо больше такими вещами интересуются, чем полчища горе-админов.

потом отшиваем дсл/диалапщиков по маске *-*-*
Опять же, если заботиться о мелких серверах, которые не в состоянии позаботиться о PTR, то как можно отрезать все динамические адреса? Мало чтоль людей до сих пор сидят через обычный модем?

потом запрещаем localhost
Если не путаю, тот же The Bat любил использовать «localhost» в строке HELO, даже если компьютеру был назначено имя. Да мало ли такого софта гуляет по планете? На стандарты чихают почти все разработчики.

Далее вступает в действие тяжёлая артиллерия по днсбл, подбираем вменяемые ордб-серверы.
А такие существуют? Чтоб никогда не банили, скажем, Valve Software — разработчика игр и владельца игровой системы Steam, которая ежедневно рассылает множество сообщений о регистрации и т. п.
 
Ответ: Антиспам обученность

1. Ага, именно по "хело" и "эхло". Я пока не видел кривой хело на настоящих почтовых серверах. А вот от ботов -- поголовно или цифровой/ип (зачастую в скобках для маскировки), или диалапный/адсльный, или поддельный под принимающую сторону. Именно по этому принципу и фильтрую -- ни один из этих трёх типов не может быть у честного смтп.

2. *-*-* отшивает зомбей/ботов/троянов/вирусов на адсл и диалап клиентах и динамических ипах. А такие клиенты обычно не имеют своих честных смтп-серверов и пользуются смтп своего провайдера или смтп всяких там гмайлов и майлру. У многих в договоре вообще пишется про обязательность использования смтп провайдера или заранее оговоренность наличия смтп у клиента, или заранее 25 порт закрыт в обе стороны. И уж сами смтп провайдеров и гмайла и майлру под эту маску всяко не попадают.

3. А какого лешего бат клиента будет слать почту напрямую на смтп-сервер получателя? Он шлёт на своего провайдера почты, а уж тот от своих диапазонов внутренних/локальных ип получает без проверки хело/эхло. Если же мне снаружи кто-то (или чей-то бат/бот) представится "хело локалхост" -- это уже откровенное свинство ;)

4. Сейчас не скажу список по памяти, но zen.spamhaus.org, bl.spamcop.net -- эти уважаю, а третьим использую dnsbl.sorbs.net -- но тут осторожнее, не весь и не корневой брать, а чисто технические поддиапазоны вражин типа открытых релеев, соксов, хттп дыр и диалап-диапазоны, и не брать более глобальные.

А вообще лучше это прям на форуме мдемона посмотреть/почитать, там вагон инфы.
 
Ответ: Антиспам обученность

Ok. Замечательно.
Отсечёте вы прямую доставку.
Причём для того, чтобы получать прямую доставку, насколько понимаю нужно быть доменом.
т.е. это пригодно для относительно крупных организаций.

А что делать, если пользуешься POP3 сервером провайдера дособирая дерьмо с мешка других POP3 серверов?
А что делать, если дерьмо прёт с дырявых ботнетов через SMTP провайдера?
Или все боты такие тупые, что пытаются доставить спам на прямую?

P.S. Что всё таки действительно необходимо для прямой доставки?
А то я тут CMS неверно настроил... Так, заработал ведь зараза, кажется только на MAIL.ru обломился.
 
Ответ: Антиспам обученность

Угу, прямая доставка -- нужен домен с мх-записью, можно бесплатный третьего уровня -- почти любой провайдер может забесплатно подсобить с этим, а там уж хоть домен для одного почтового ящика при нулевой цене вполне рентабельно ;)

Если поп3 провайдера -- его можно пустить через гмайл, он тоже умеет собирать с других поп3 и имеет неплохую спамодавилку. Пробившееся давить у себя через байеса, пока, увы, других способов для поп3 нет.

Да, подавляющее количество ботов шлёт напрямую на текущий момент, потому что провайдер влёт заметит тысячу писем в секунду, отправляемых ботом, вот они и пытаются переть в обход; ну и боту иногда бывает затруднительно угадать смтп-адрес для исходящей изнутри почты (он обычно делается отличным от принимающего снаружи и "засекречен"). Завтра звёзды повернутся, и ситуация изменится -- тогда будем думать дальше ;)

Для прямой доставки на адрес@домен.ру надо настроить днс сервера, держащего домен.ру, чтобы там были исправные записи соа, нс и а, указывающий на сам домен.ру. Потом добавить запись мх, именно на неё будут слать спа... почту для домен.ру. Всё. Ну и посадить туда смтп-сервер для приёма слушать 25 порт снаружи. Потом начнётся самое сложное -- обезопасить свой смтп...
 
Ответ: Антиспам обученность

Samsonov сказал(а):
То есть имеется в виду не «домен», а HELO-аргумент? Мне кажется, что вероятность неправильной настройки HELO на легитимном сервере (или даже на уровне самой логики софта) выше

Про ПТР и почему не резать по нему, не совпадающему с ЭХЛО/ХЕЛО -- его ж провайдер у себя настраивает, а не конечный клиент на своём домене. Отнюдь не все провайдеры вменяемые оказываются, особенно если клиент некрупный или малоприбыльный. Вот клиент и оказывается с неправильным ПТР. Иной причины (кроме забыл/лентяй, что маловероятно) не вижу. Ну или бедогали с доменом на динамическом ип.
 
Ответ: Антиспам обученность

SINL

Точно так же провайдер в лёт (если не совсем тупой) увидит 1000 SMTP пакетов в секунду с конкретного адреса и по уму в этой ситуации должна сработать автоматика и заблокировать пользователю порт.

В прочем у меня тут провайдеру завалили DNS при DDOS атаке изнутри сети на один компьютерный магазин. Причём я, похоже, первый позвонил, сказал что им DNS сервер валят (просто тупо постоянными запросами)... Не поверили. Через день прочухались.

Именно тогда я понял какого развития достигли BotNet. Раз уж умудрились завалить DNS сервер провайдера чисто тем, что он перестал справляться с нагрузкой...
 
Ответ: Антиспам обученность

SINL сказал(а):
Если поп3 провайдера -- его можно пустить через гмайл, он тоже умеет собирать с других поп3 и имеет неплохую спамодавилку. Пробившееся давить у себя через байеса, пока, увы, других способов для поп3 нет.

Вот я это и предложил Алексею.
Основное в этом деле минимизировать входящий трафик. То, что остаётся после GMail, это по сути мелочи.
Плюс ряд дополнительных бонусов, в частности в общем не плохой HTML интерфейс и возможность забить на ёмкие вложения при приёме принимая их в виде файлов.

Единственный минус, это на запрет .exe вложений... Но это так, мелочёвка... Кто умный, тот в RAR запакует, или в 7z
 
Статус
Закрыто для дальнейших ответов.