Все новости от 25 мая 2004 г.

Главный спамер в Сети — Comcast?

Лютнер сообщил, что пользователи Comcast отправляют около 800 млн сообщений в день, но через почтовые серверы компании проходят всего 100 млн. Почти все остальные 700 млн сообщений — спам, исходящий от так называемых зомбированных компьтеров. Это ошеломительная цифра, которая добавляет по шесть или семь спамограмм на каждую американскую семью в день.

Зомбированные компьютеры возникают, когда спамеры овладевают уязвимыми машинами Microsoft Windows и превращают их в спам-роботов. Точных цифр нет, но по некоторым оценкам примерно треть спама исходит от зомбированных компьютеров с широкополосными соединениями. Владельцы зомбированных ПК обычно даже не догадываются, что происходит.

Так как домашние компьютеры больше подвержены инфекции, чем корпоративные ПК, и так как у Comcast около 6 млн абонентов с высокоскоростным доступом, наверное, кабельный провайдер неизбежно должен был стать рассадником дистанционно управляемых зомби, извергающих потоки почтового мусора.

Не обязательно верить Comcast на слово. Статистика IronPort Systems для comcast.net показывает, что если у шести официальных почтовых серверов компании месячный индекс исходящей почты составляет 6,2, то по крайней мере 44 абонента Comcast демонстрируют аналогичные показатели в 5,8 и выше. В целом Comcast является самым крупным источником электронной почты всех типов, превосходящим по своим масштабам два следующих за ним — службу Time Warner Road Runner и Yahoo — вместе взятых.

Брайан Мартин, консультант по компьютерной безопасности из Денвера, знает о зомби из Comcast не по наслышке. В прошлом году некий абонент Comcast, предположительно зараженный zombieware, бомбардировал почтовый адрес Мартина примерно 10 тыс. сообщениями в час. Понадобились две недели почти ежедневных жалоб в Comcast, чтобы поток прекратился. «Я не думаю, что их действительно беспокоят спам или вирусы, — говорит Мартин. — Из экономии они не хотят выделять персонал на борьбу с этим злом».

Укрощение спама
Я не хочу обвинять Comcast во всех смертных грехах. По крайней мере в последнее время его техники, кажется, стали отзывчивее: в марте они начали рассылать предполагаемым зомби предупреждения. По процентному отношению зомбированных компьютеров среди абонентов Comcast — далеко не самая худшая компания, просто гигантское абсолютное число подписчиков делает её столь мощным источником спама.

Comcast может заблокировать зомби, не пропуская исходящую почту через свои серверы. Этот метод называется блокировкой порта 25, используемого почтенным протоколом Simple Mail Transport Protocol. Он позволяет упростить контроль за исходящей почтой, чтобы ускорить определение зомбированных ПК. «Это не Бог весь какая сложная технология, — говорит сопредседатель отделения исследований в области борьбы со спамом организации Internet Engineering Task Force Джон Левин. — В общих чертах, вы подсчитываете сообщения и присваиваете каждому квоту. Если бабуся обычно отправляет по шесть сообщений в день и вдруг пытается отправить 10 тыс., вряд ли у неё так быстро появилось столько новых подруг».

Некоторые интернет-провайдеры, включая EarthLink, Cox Communications и ряд университетов, блокируют 25-ый порт. Но это спорная мера, так как она доставляет неудобства людям, работающим через удаленных провайдеров e-mail, или приверженцам Linux, использующих собственные почтовые серверы. (Со временем все почтовые клиенты будут поддерживать обходной путь с выводом исходящих сообщений через порт 587.)

Судя по моим с ними беседам, инженеры Comcast намерены вести себя более агрессивно. Но отдел маркетинга не разрешает закрывать 25-ый порт из-за цены вопроса — примерно $58 млн. Отчасти такая высокая цена вызвана тем, что некоторым абонентам придется объяснять, как им реконфигурировать почтовые программы, чтобы они указывали на серверы Comcast, а каждый телефонный звонок в службу технической поддержки обходится в $9.

Вместо этого, инженеры Comcast планируют применить новаторский метод выявления зомбированных ПК и скрыто загружать в кабельные модемы абонентов новую конфигурацию, предотвращающую передачу данных через 25-ый порт. Пользователи даже не заметят этого, так как большинство из них для исходящей почты использует почтовые серверы Comcast. А если кто-то окажется заблокирован, он сможет позвонить и пожаловаться.

Это хорошая идея, и, возможно, она даже сработает. Но ещё важнее, что самый крупный спамер в интернете, наконец, пытается найти способы оградить наши почтовые ящики от своих абонентов. 

 Предыдущие публикации:

 В продолжение темы:

Обсуждение и комментарии

	vIv 25 May 2004 11:59 AM
гыыыыыыыыыыыы 8-))) тока-тока я про client.comcast.net высказывался 8-))
	fi 25 May 2004 2:29 PM
Как не странно, уже довольно давно, ходил патч для sendmail (может даже еще для v5), который сурово обрубал коннект, если исходящие не имеют MX записи на себя, как раз вот от таких левых виндуз.
	fi 25 May 2004 2:34 PM
А если добавить сюда авторизацию для клиентов, то борьба со спамом сведется к работе админов, в отличии от того шторма, который сейчас и никто не виноват!!! ;-))
	fi 25 May 2004 2:41 PM
И не нужен новый велик с MAPI, Caller ID и т.д.
	Wintermute - devnul.ru 25 May 2004 2:56 PM
2 fi: Помнца, Alexander S. высказывался именно на этот счет и именно ою этом патче... Что ж до сих пор этот патч-то на шлюниксовых сереверах не стоит? Недоработка open source, недоработка.
	fi 25 May 2004 3:08 PM
то Wintermute Alexander S. да же не знает что это такое, он только отсебятину гонит (типа протокол sendmail), а ты говоришь недоработка. В прочем похоже ты тоже не разобрался в чем проблема с внедрением -((
	Alexander S. 25 May 2004 4:50 PM
2 fi, Ссылку в студию, гениус.
	fi 26 May 2004 8:24 AM
Если ты думаешь что я коллекционирую твои перлы, то ты круто ошибся. Пусть лучше Wintermute покажет, где ты предлагаешь проверять MX ;-)
	vIv 26 May 2004 8:35 AM
а во вторых такой "патч" "зафильтровал бы " бэк-релеи. бредятина, короче.
	fi 26 May 2004 10:18 AM
то vIv При чём тут бэк-релеи.??? Они сами должны представлятся. А про mail.ru, так я же и писал, что правила очень жесткие ("сурово обрубал коннект"). Но в целом для mail.ru это не проблема, нужны небольшие изменения в PTR. Главна проблема в RFC - там нет такого требования! Но идея хорошая, чтобы хост был прописан в DNS как почтовый.
	vIv 26 May 2004 10:46 AM
а как они доставляют-то? почта шла. допустим с mail.ru - не дошла до основного, ушла к бэк-релею. основной ожил, - бэк-релей доставляет: "почта от vasja@mail.ru" но при этом он ни разу не МХ для майлрю
	vIv 26 May 2004 10:48 AM
идея нифига не хорошая, т.к. это припарка для трупа. что - от того, что спам станет идти через почтовые сервера того же комкаста + в поле фром впишут комкаст + появится интерес в ломе ДНС-серверов - спам станет неспамом? идея дурная и вредная
	Shadow 26 May 2004 11:11 AM
Бить всех из отдела маркетинга пока не согласятся. Пытать. Вырывать зубы по одному, отрезать пальцы. Спам должен быть блокирован.
	Shadow 26 May 2004 11:13 AM
> Что ж до сих пор этот патч-то на шлюниксовых сереверах не стоит Есть ещё проще - есть DNS bl, который работает "наоборот" - если нет обратной MX записи и прочего, то почта не принимается. Я такой себе вписал. Да, админов, что пропускают какую попало почту - тоже пытать %)
	fi 26 May 2004 11:37 AM
то vIv Не тупи!!!: "бэк-релей доставляет: "почта от vasja@mail.ru" " Ну причем тут vasja@ ? Грубо говоря, бэк-релей выдает: EHLO relay.ru проверяем PTR для IP: получаем mx.relay.ru, тот же домен проверяем MX для relay.ru: relay.ru mail is handled by 10 mxs.relay.ru. Всё проходишь, ты почтовый сервер (тебя завели в DNS), а не тупой клиен. то Shadow увы не поможет, сейчас даже dialup host имеет PTR
	Alexander S. 26 May 2004 5:09 PM
2 fi, С тобой всё ясно, врун. >Пусть лучше Wintermute покажет, где ты предлагаешь проверять MX ;-) Трудно показать то, что не было сказано. Либо ты Wintermute за идиота считаешь, либо на меня гонишь. Давай, врунишка, отвечай за свои слова.
	Alexander S. 26 May 2004 5:32 PM
Вдогонку: сваливать на других- признак собственной беспомощности. Такой вот молодец, сначала пальцы гнуть "даже не знает что это такое, он только отсебятину гонит", а потом как взяли за яйца- так сразу и на попятный, "а что я, да ничего я, да некогда мне". Так вот, неуважаемый fi, НИКОГДА я не советовал бороться со спамом проверяя MX records. Никогда. Найдёшь это- покажи, нет- ты есть лживая собака. Никогда я не говорил, что Sendmail- это протокол. Если найдёшь эту мою фразу- покажи, вместе посмеёмся над моей тупостью, нет- признай что ты гонишь отсебятину и не знаешь о чём говоришь. И тогда будем смеяться над тупостью твоей. И разойдёмся с миром.
	n/a 26 May 2004 7:14 PM
2 Alexander S 1) > Никогда я не говорил, что Sendmail- это протокол. 2)http://zdnet.ru/?ID=448638&Discuss=1&Page=1 > А... понял я, что вы не поняли.:) Когда я про SMTP-engine говорил, вы не про Линуксо-Юниксовые ли сервера с Sendmail подумали?
	fi 27 May 2004 7:51 AM
то Wintermute Ну вот тебе ответ от AS. -)) > НИКОГДА я не советовал бороться со спамом проверяя MX records. Никогда. Я же говорил, что он не знает, что это такое!!! то n/a Это еще в более ранних постах ;-), после чего ему посоветовали прочитать, чем отличается SMTP от sendmail и теперь он гнет пальцы :))
	fi 27 May 2004 3:30 PM
Ну вот AS. и подставился ;-): Вот что он писал по ходу дела, сперва: > основной вал спама идёт с серверов Линукс и UNIX, на которых бежит проститутка Sendmail, разрешающая всякой суке подписаться любым именем отправителя. ... > Если бы не этот дебильный "открытый" спаму протокол SMTP, если бы я видел не только IP но конкретный адрес отправителя- то у отправителя бы уже вируса не было- а > > Почему-то Оутлуковые вирусы с правдивым адресом отправителя пожили недолго, а вот Sendmail-based живут и процветают. Вот что он подразумевал: > >в sendmail обратный адрес тоже подставляется автоматически > telnet openrelayineurope.idiotadmin.fi smtp > helo fckoff > ... > MAIL FROM: fakesender@spamsender.eatmyspam.fi > RCPT TO: homeuser@home.us > DATA > *** > . > > Какой, простите, обратный адрес подставляется автоматически? То есть SMTP. (впрочем то же сочинил, такой хлам не проходит) И вот он прозрел! > А... понял я, что вы не поняли.:) Когда я про SMTP-engine говорил, вы не про Линуксо-Юниксовые ли сервера с Sendmail подумали? > Ну так раслабьтесь- не наезжал я на сервера и на их квалифицированных админов! > > Вот вам переделанная моя фраза, чтобы без недопоняток: > > "А лес этот состоит из зомби-компьютеров домашних пользователей, на которых резвятся вирусы и внедрённый код удалённого контроля этими зомби-компьютерами. > > Эти зомби, используя SMTP-протокол, рассылают спам и вирусы на всевозможные MTA которые вынуждены принимать эту почту потому что протокол SMTP разработанный около 20 лет назад и поддерживающий его серверный софтвер (причём- не только Sendmail) неспособны определить имеет ли право компьютер Васи Пупкина в Мурманске посылать письма от имени абонетнов корпорации AOL.COM, или нет." > Начали с "проститутка Sendmail" и закончели "из зомби-компьютеров домашних пользователей" Так что "ты есть лживая собака. " и "С тобой всё ясно, врун. " Пришивай обованые яйца, АС.!
	vIv 28 May 2004 12:35 PM
2AS: ещё раз: юзеры начнут спам отдавать для доставки своему провайдеру. и подписывать своим адресом. КОМУ от этого станет легче? А если спаммер и провайдер - это одно и то же лицо? А если зомбированная машина действует под контролем того, у кого домен под контролем?