Сірі списки: Мій адміністратор сказав мені не розмовляли з незнайомцями

Сірі списки в основному складаються з інтерпретації поточних стандартів SMTP і

додають трохи білої брехні щоб полегшити вам життя Як правило, спамери використовують чуже обладнання для відправки своїх повідомлень і незаконно встановлюють відповідне Програмне забезпечення працює у фоновому

режимі У відмінності від легітимних відправників пошти, спамери не вважають важливим будь індивідуальне повідомлення яке вони відправляють В цілому, це означає, що типове ПО відправляє спам, або відповідне шкідливе ПЗ не займаються коректної обробкою статусних кодів SMTP І це ми можемо використовувати у своїх цілях, як було запропоновано Еваном Харрісом в його доповіді назвою Наступний крок у війні зі спамом: Сірі списки , опублікованому в 2003 году3

Харріс зазначив, що коли взломані компютер використовується для відправки спаму, додаток відправник виробляє тільки відправку, без перевірки результов або кодів повернення Реальна реалізація SMTP інтерпретує коди повернення і прозводить відповідні дії, а реальний поштовий сервер повторить спробу відправки, якщо перша спроба не увінчалася успіхом через помилки У своїй статті, Харріс виклав практичні підходи:

• при першому контакті з SMTP раніше невідомого партнера не приймати електронну пошту з першої спроби доставки, а замість цього відповісти статусним кодом информирующим про тимчасово локальної проблеми, і зберегти IP адреса відправника для подальшого використання

• якщо відправка повторюється негайно, повернути, як і колись, статусний код тимчасової проблеми

• якщо відправник, повторює відправку після деякого встановленого мінімуму часу (наприклад 1:00), але не більше максимального періоду очікування (наприклад 4-х годин), прийняти повідомлення, і записати IP адреса відправника в білий список

Така суть сірих списків І на щастя, ви можете налаштувати і зберегти сірі списки spamd на шлюзі обладнаному PF

(Ось така параноя у найжорстокішій формі, і зауважте цілком актуальна – пп)

Установка spamd в режим сірих списківМожливість використання сірих списків зявилася в OpenBSD 35 Починаючи з OpenBSD 41, spamd використовує режим сірих списків за замовчуванням У режимі сірих списків за замовчуванням, таблиця spamd використовувана для чорних списків, описаних у попередньому розділі, стає надмірною Ви все ще можете використовувати сірі списки, але spamd буде використовувати поєднання приватних структур даних для даних чорних списків і базу даних spamdb для зберігання даних повязаних з сірими списками Типовий набір правил для spamd в режимі за замовчуванням виглядає приблизно

так:

table &ltspamd-white&gt persist

table &ltnospamd&gt persist file &quot/etc/mail/nospamd&quot pass in log on egress proto tcp to port smtp \

rdr-to 127001 port spamd

pass in log on egress proto tcp from &ltnospamd&gt to port smtp pass in log on egress proto tcp from &ltspamd-white&gt to port smtp pass out log on egress proto tcp to port smtp

Сюди включені необхідні правила pass, що дозволяють потік легітимною пошти з вашої мережі в пункт призначення Таблиця є білим списком, який ведеться spamd Хости в таблиці попередньо пройшли сірі списки, а поштою з цих машин дозволено проходити до реальних поштових серверів або інтерфейсам фільтрації контенту Крім того, таблиця використовується для завантаження адрес хостів, які ви не бажаєте піддавати обробці spamd, а відповідні правила pass гарантують проходження SMTP трафіку від цих хостів

У вашій мережі, ви можете посилити ці правила для передачі трафіку SMTP тільки до або з хостів, яким дозволено відправляти і отримувати пошту через SMTP Ми повернемося до таблиці в розділі Обробка вузлів які погано Рабтана з сірими списками, на сторінці 102

3 Оригінал роботи Харріса і ряд інших корисних статей і ресурсів можна знайти за адресою http://wwwgreylistingorg/

Еквівалент правил для синтаксису pre-OpenBSD 47:

table &ltspamd-white&gt persist

table &ltnospamd&gt persist file &quot/etc/mail/nospamd&quot rdr pass in log on egress proto tcp to port smtp \

-&gt 127001 port spamd

pass in log on egress proto tcp from &ltnospamd&gt to port smtp pass in log on egress proto tcp from &ltspamd-white&gt to port smtp pass out log on egress proto tcp to port smtp

Велике число розробок було направлено на поліпшення роботи основних сервісів, наприклад таких як SMTP З практичної точки зору, це означає що ми можемо отримати повні дані про всьому процесі доставки повідомлень SMTP Саме з цієї причини, ми, зрештою, можемо покладатися на сірі списки отримуючи пошту від певних поштових серверів Поточний стандарт передачі електронної пошти в мережі Інтернет визначається RFC 5321 * Ось кілька уривків з розділу 4541 Стратегія відправки:

[У типових системах, програма компоновки повідомлення має інший спосіб запиту негайної обробки вихідної пошти, а пошта, яка не може бути відправлена ​​негайно, повинна поміщатися в чергу і періодично намагатися відправитися Відправник зобовязаний робити паузу перед повторною спробою оправлення повідомлення адресату, якщо попередня спроба не вдалася в цілому, інтервали повтору ПОВИННІ бути не менше 30 хвилин, однак буде корисна і складніша стратегія періодичності, у випадку якщо клієнт SMTP може визначити причину неможливості доставки Спроби триватимуть аж до передачі повідомлення або відмови відправника: відмова оправітеля зазвичай становить період 4-5 днів Доставка електронної пошти є процесом спільних усісілій і RFC чітко регламентує, що, їли сайт, на який ви намагаєтеся відправити пошту, інформує про те, що не може прийняти повідомлення в даний момент, ваш обовязок (установленая вимогою) повторити відправлення дещо пізніше, давши можливість приймаючому серверу усунути можливі проблеми Сірі списки – брехня в порятунок Коли ми говоримо що є тимчасові локальні проблеми, ці проблеми еквівалентні висловом – Мій адміністратор сказав мені не розмовляти з незнайомцями . Дійсні відправника надіслати, проте спамери не чекатимуть шансу спробувати ще раз відправити повідомлення, оскільки при цьому збільшується його сукупна вартість Саме з цього сірі списки працюють на основі суворого дотримання стандартів і помилкові спрацьовування вельми рідкісні ]

* Відповідні частини RFC 5321 ідентичні частинам застарілого документа RFC 2821 Деякі з нас були сильно розчаровані тим, що IETF не уточнив ці фрагменти у відповідності з поточними стандартами Моя реакція (хоча напевно це занадто пихата фраза) відзначена на http://bsdlyblogspotcom/2008/10/ietf-failed-to-account-for-greylistinghtml Відповідні RFC, в основному RFC 1123 і RFC 5321 (замінив RFC 2821) Запамятайте, що тимчасова відмова є функцією відмовостійкості SMTP

У FreeBSD, для того щоб використовувати режим сірих списків spamd, вам необхідний файл дескриптора файлової системи (дивіться man 5 fdescfs) змонтований в / dev / fd / Для цього, додайте наступну рядок в / etc / fstab і переконайтеся, що код fdescfs присутній у вашому ядрі або завантажте відповідний модуль за допомогою команди kldload

fdescfs /dev/fd fdescfs rw 0 0

Для початку конфігурування spamd, розмістіть рядка для spamd і параметрів завантаження в / etc / rcconflocal Наприклад:

spamd_flags=&quot-v -G 2:4:864&quot # for normal use: &quot&quot and see spamd-setup(8)

На FreeBSD, еквівалентні рядки повинні бути в / etc / rcconf:

obspamd_flags=&quot-v -G 2:4:864&quot # for normal use: &quot&quot and see spamd-setup(8)

Ви можете більш тонко налаштувати декілька параметрів повязаних з сірими списками використовуючи параметри командного рядка spamd з опцією-G

Список розділений двокрапками 2:4:864 представляє значення passtime, greyexp і whiteexp:

• passtime вказує мінімальне число хвилин, які spamd вважає розумним часом перш ніж повторити відправлення За замовчуванням, значення становить 25 хвилин, але ми зменшили його до 2 хвилин

• greyexp вказує кількість годин, протягом яких запис залишається в сірих списках до видалення з бази даних

• whiteexp вказує в годинах, як довго зберігаються записи в білому списку

Значення за замовчуванням для greyexp і whiteexp складають 4 і 864 години (трохи більше одного місяця) відповідно

Використання сірих списків на практиціКористувачі та адміністратори сайтів, які реалізують практику використання сірих списків, сходяться на думці, що сірі списки дозволяють позбутися великої частини спаму і призводять до значного падіння навантаження на будь-яку фільтрацію контента Для початку, ми розглянемо, як виглядають файли журналів spamd при

використанні сірих списків, а потім повернемося до деякими даними

Якщо ви виконаєте в командному рядку spamd-v, що забезпечить високу деталізацію ведення файлів журналів, вони будуть включати деяку додаткову інформацію

крім IP адрес Типовий уривок такого журналу виглядає приблизно так:

Oct 2 19:53:21 delilah spamd[26905]:65210185131: connected (1/1), lists: spews1

Oct 2 19:55:04 delilah spamd[26905]:8323213115: connected (2/1)

Oct 2 19:55:05 delilah spamd[26905]:(GREY) 8323213115: &ltgilbert@keyholesnet&gt -&gt

&ltwkitp98zpufsf@datadokno&gt

Oct 2 19:55:05 delilah spamd[26905]:8323213115: disconnected after 0 seconds

Oct 2 19:55:05 delilah spamd[26905]:8323213115: connected (2/1)

Oct 2 19:55:06 delilah spamd[26905]:(GREY) 8323213115: &ltgilbert@keyholesnet&gt -&gt

&ltwkitp98zpufsf@datadokno&gt

Oct 2 19:55:06 delilah spamd[26905]: 8323213115: disconnected after 1 seconds

Oct 2 19:57:07 delilah spamd[26905]: (BLACK) 65210185131: &ltbounce-3C7E40A4B3@branch15summer- bargainzcom&gt -&gt &ltadm@datapedno&gt

Oct 2 19:58:50 delilah spamd[26905]: 65210185131: From: Auto lnsurance Savings

&ltnoreply@branch15summer-bargainzcom&gt

Oct 2 19:58:50 delilah spamd[26905]: 65210185131: Subject: Start SAVlNG M0NEY on Auto lnsurance Oct 2 19:58:50 delilah spamd[26905]: 65210185131: To: adm@datapedno

Oct 2 20:00:05 delilah spamd[26905]: 65210185131: disconnected after 404 seconds lists: spews1

Oct 2 20:03:48 delilah spamd[26905]: 2222406118: connected (1/0)

Oct 2 20:03:48 delilah spamd[26905]: 2222406118: disconnected after 0 seconds

Oct 2 20:06:51 delilah spamd[26905]: 247111010: connected (1/1), lists: spews1

Oct 2 20:07:00 delilah spamd[26905]: 22119637249: connected (2/1)

Oct 2 20:07:00 delilah spamd[26905]: 22119637249: disconnected after 0 seconds

Oct 2 20:07:12 delilah spamd[26905]: 247111010: disconnected after 21 seconds lists: spews1

Перший рядок – початок зєднання з машиною що знаходиться в чорному списку spews1 Наступні шість рядків відображають повні записи з двох спроб зєднання з іншої машини, яка кожного разу підключається як вторинне активну сполуку Ця друга машина ще не потрапила в чорний список, оскільки вона знаходиться в сірому списку

Зверніть увагу на цікавий адресу доставки в повідомленні (wkitp98zpu fsf@datadokno), яке намагається доставити машина з сірого списку Існує корисний трюк, який ми розглянемо в розділі Graytrapping на сторінці 98 (GRAY) і (BLACK) перед адресою, вказують статус сірих або чорних списків Зараз існує велика активність від блокованого хоста, а дещо пізніше ми побачимо, що після 404 секунд (6 хвилин 44 секунди), блокований хост скидається без завершення доставки

Решта рядків показують кілька дуже коротких зєднань, в тому числі і від машини знаходиться в чорному списку Правда цього разу разив зєднання відбувається

занадто швидко для того щоб побачити прапор (BLACK) на початку діалогу SMTP, проте в

кінці ми бачимо посилання на список імен (spews1) Близько 400 секунд (за даними різних сайтів) наївні спамери стирчать в чорному списку і приблизно стільки ж часу потрібно (з розрахунку 1 байт в секунду) на завершення діалогу EHLO поки spamd відхиляє повідомлення Однак, якщо заглядати в журнал частіше, ви можете помітити, що деякі спамери висять значно більше Наприклад, за даними шлюзу нашого офісу, можна виділити одну запис журналу:

Dec 11 23:57:24 delilah spamd[32048]: 6964026: connected (1/1), lists: spamhaus spews1 spews2

Dec 12 00:30:08

seconds lists: delilah spamd[32048]: 6964026: disconnected after 1964 spamhaus spews1 spews2

Дана машина вже перебувала в декількох чорних списках, коли вона зробила 13 спроб доставки з 9 по 12 грудня Остання спроба тривала 32 хвилини 44 секунди, так і не завершивши доставки Розумні спамери розривають зєднання протягом перших

пяти секунд, як було показано в першому фрагменті журналу Інші, після 400 секунд Деякі повисають на кілька годин (Самий крайній зареєстрований випадок – 42673 секунди, почто 12 годин)

Джерело: Книга про PF, by Peter NM Hansteen, Переклад виконав Михайлов Олексій aka iboxjo

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*