На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2004-5-25 на главную / новости от 2004-5-25
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 25 мая 2004 г.

Главный спамер в Сети — Comcast?

Давно ходят слухи, что абоненты Comcast с их высокоскоростным доступом являются необычайно стабильным источником непрошеной электронной почты. Теперь это подтвердил и представитель компании: «Мы — самый мощный спамер в интернете», — сказал системный инженер Comcast Шон Лютнер на конференции рабочей группы по борьбе со спамом в Вашингтоне.

Лютнер сообщил, что пользователи Comcast отправляют около 800 млн сообщений в день, но через почтовые серверы компании проходят всего 100 млн. Почти все остальные 700 млн сообщений — спам, исходящий от так называемых зомбированных компьтеров. Это ошеломительная цифра, которая добавляет по шесть или семь спамограмм на каждую американскую семью в день.

Зомбированные компьютеры возникают, когда спамеры овладевают уязвимыми машинами Microsoft Windows и превращают их в спам-роботов. Точных цифр нет, но по некоторым оценкам примерно треть спама исходит от зомбированных компьютеров с широкополосными соединениями. Владельцы зомбированных ПК обычно даже не догадываются, что происходит.

Так как домашние компьютеры больше подвержены инфекции, чем корпоративные ПК, и так как у Comcast около 6 млн абонентов с высокоскоростным доступом, наверное, кабельный провайдер неизбежно должен был стать рассадником дистанционно управляемых зомби, извергающих потоки почтового мусора.

Не обязательно верить Comcast на слово. Статистика IronPort Systems для comcast.net показывает, что если у шести официальных почтовых серверов компании месячный индекс исходящей почты составляет 6,2, то по крайней мере 44 абонента Comcast демонстрируют аналогичные показатели в 5,8 и выше. В целом Comcast является самым крупным источником электронной почты всех типов, превосходящим по своим масштабам два следующих за ним — службу Time Warner Road Runner и Yahoo — вместе взятых.

Брайан Мартин, консультант по компьютерной безопасности из Денвера, знает о зомби из Comcast не по наслышке. В прошлом году некий абонент Comcast, предположительно зараженный zombieware, бомбардировал почтовый адрес Мартина примерно 10 тыс. сообщениями в час. Понадобились две недели почти ежедневных жалоб в Comcast, чтобы поток прекратился. «Я не думаю, что их действительно беспокоят спам или вирусы, — говорит Мартин. — Из экономии они не хотят выделять персонал на борьбу с этим злом».

Укрощение спама
Я не хочу обвинять Comcast во всех смертных грехах. По крайней мере в последнее время его техники, кажется, стали отзывчивее: в марте они начали рассылать предполагаемым зомби предупреждения. По процентному отношению зомбированных компьютеров среди абонентов Comcast — далеко не самая худшая компания, просто гигантское абсолютное число подписчиков делает её столь мощным источником спама.

Comcast может заблокировать зомби, не пропуская исходящую почту через свои серверы. Этот метод называется блокировкой порта 25, используемого почтенным протоколом Simple Mail Transport Protocol. Он позволяет упростить контроль за исходящей почтой, чтобы ускорить определение зомбированных ПК. «Это не Бог весь какая сложная технология, — говорит сопредседатель отделения исследований в области борьбы со спамом организации Internet Engineering Task Force Джон Левин. — В общих чертах, вы подсчитываете сообщения и присваиваете каждому квоту. Если бабуся обычно отправляет по шесть сообщений в день и вдруг пытается отправить 10 тыс., вряд ли у неё так быстро появилось столько новых подруг».

Некоторые интернет-провайдеры, включая EarthLink, Cox Communications и ряд университетов, блокируют 25-ый порт. Но это спорная мера, так как она доставляет неудобства людям, работающим через удаленных провайдеров e-mail, или приверженцам Linux, использующих собственные почтовые серверы. (Со временем все почтовые клиенты будут поддерживать обходной путь с выводом исходящих сообщений через порт 587.)

Судя по моим с ними беседам, инженеры Comcast намерены вести себя более агрессивно. Но отдел маркетинга не разрешает закрывать 25-ый порт из-за цены вопроса — примерно $58 млн. Отчасти такая высокая цена вызвана тем, что некоторым абонентам придется объяснять, как им реконфигурировать почтовые программы, чтобы они указывали на серверы Comcast, а каждый телефонный звонок в службу технической поддержки обходится в $9.

Вместо этого, инженеры Comcast планируют применить новаторский метод выявления зомбированных ПК и скрыто загружать в кабельные модемы абонентов новую конфигурацию, предотвращающую передачу данных через 25-ый порт. Пользователи даже не заметят этого, так как большинство из них для исходящей почты использует почтовые серверы Comcast. А если кто-то окажется заблокирован, он сможет позвонить и пожаловаться.

Это хорошая идея, и, возможно, она даже сработает. Но ещё важнее, что самый крупный спамер в интернете, наконец, пытается найти способы оградить наши почтовые ящики от своих абонентов. 

 Предыдущие публикации:
2004-05-20   Microsoft стандартизирует средство от спама
2004-05-24   Спамеры создают себе отборную армию зомби
 В продолжение темы:
2004-05-26   Microsoft обещает продлить поддержку продуктов
2004-05-28   Сетевая реклама возвращается на широкую дорогу
2004-06-18   Ветеран Сети призывает принять стандарт идентификации e-mail
Обсуждение и комментарии
vIv
25 May 2004 11:59 AM
гыыыыыыыыыыыы 8-)))
тока-тока я про client.comcast.net высказывался 8-))
 

fi
25 May 2004 2:29 PM
Как не странно, уже довольно давно, ходил патч для sendmail (может даже еще для v5), который сурово обрубал коннект, если исходящие не имеют MX записи на себя, как раз вот от таких левых виндуз.
 

fi
25 May 2004 2:34 PM
А если добавить сюда авторизацию для клиентов, то борьба со спамом сведется к работе админов, в отличии от того шторма, который сейчас и никто не виноват!!! ;-))
 

fi
25 May 2004 2:41 PM
И не нужен новый велик с MAPI, Caller ID и т.д.
 

Wintermute - devnul.ru
25 May 2004 2:56 PM
2 fi: Помнца, Alexander S. высказывался именно на этот счет и именно ою этом патче... Что ж до сих пор этот патч-то на шлюниксовых сереверах не стоит? Недоработка open source, недоработка.
 

fi
25 May 2004 3:08 PM
то Wintermute

Alexander S. да же не знает что это такое, он только отсебятину гонит (типа протокол sendmail), а ты говоришь недоработка. В прочем похоже ты тоже не разобрался в чем проблема с внедрением -((
 

Alexander S.
25 May 2004 4:50 PM
2 fi,

Ссылку в студию, гениус.
 

fi
26 May 2004 8:24 AM
Если ты думаешь что я коллекционирую твои перлы, то ты круто ошибся.
Пусть лучше Wintermute покажет, где ты предлагаешь проверять MX ;-)
 

vIv
26 May 2004 8:35 AM
а во вторых такой "патч" "зафильтровал бы " бэк-релеи.
бредятина, короче.
 

fi
26 May 2004 10:18 AM
то vIv

При чём тут бэк-релеи.??? Они сами должны представлятся.

А про mail.ru, так я же и писал, что правила очень жесткие ("сурово обрубал коннект"). Но в целом для mail.ru это не проблема, нужны небольшие изменения в PTR.

Главна проблема в RFC - там нет такого требования! Но идея хорошая, чтобы хост был прописан в DNS как почтовый.
 

vIv
26 May 2004 10:46 AM
а как они доставляют-то?
почта шла. допустим с mail.ru - не дошла до основного, ушла к бэк-релею.
основной ожил, - бэк-релей доставляет: "почта от vasja@mail.ru"
но при этом он ни разу не МХ для майлрю
 

vIv
26 May 2004 10:48 AM
идея нифига не хорошая, т.к. это припарка для трупа.
что - от того, что спам станет идти через почтовые сервера того же комкаста + в поле фром впишут комкаст + появится интерес в ломе ДНС-серверов - спам станет неспамом?

идея дурная и вредная
 

Shadow
26 May 2004 11:11 AM
Бить всех из отдела маркетинга пока не согласятся. Пытать. Вырывать зубы по одному, отрезать пальцы.
Спам должен быть блокирован.
 

Shadow
26 May 2004 11:13 AM
> Что ж до сих пор этот патч-то на шлюниксовых сереверах не стоит
Есть ещё проще - есть DNS bl, который работает "наоборот" - если нет обратной MX записи и прочего, то почта не принимается.

Я такой себе вписал.
Да, админов, что пропускают какую попало почту - тоже пытать %)
 

fi
26 May 2004 11:37 AM
то vIv

Не тупи!!!:

"бэк-релей доставляет: "почта от vasja@mail.ru" "

Ну причем тут vasja@ ?

Грубо говоря, бэк-релей выдает:
EHLO relay.ru

проверяем PTR для IP:

получаем mx.relay.ru, тот же домен

проверяем MX для relay.ru:
relay.ru mail is handled by 10 mxs.relay.ru.

Всё проходишь, ты почтовый сервер (тебя завели в DNS), а не тупой клиен.

то Shadow

увы не поможет, сейчас даже dialup host имеет PTR
 

Alexander S.
26 May 2004 5:09 PM
2 fi,

С тобой всё ясно, врун.

>Пусть лучше Wintermute покажет, где ты предлагаешь проверять MX ;-)

Трудно показать то, что не было сказано. Либо ты Wintermute за идиота считаешь, либо на меня гонишь.

Давай, врунишка, отвечай за свои слова.
 

Alexander S.
26 May 2004 5:32 PM
Вдогонку: сваливать на других- признак собственной беспомощности.

Такой вот молодец, сначала пальцы гнуть "даже не знает что это такое, он только отсебятину гонит", а потом как взяли за яйца- так сразу и на попятный, "а что я, да ничего я, да некогда мне".

Так вот, неуважаемый fi, НИКОГДА я не советовал бороться со спамом проверяя MX records. Никогда. Найдёшь это- покажи, нет- ты есть лживая собака.

Никогда я не говорил, что Sendmail- это протокол. Если найдёшь эту мою фразу- покажи, вместе посмеёмся над моей тупостью, нет- признай что ты гонишь отсебятину и не знаешь о чём говоришь. И тогда будем смеяться над тупостью твоей.

И разойдёмся с миром.
 

n/a
26 May 2004 7:14 PM
2 Alexander S
1)
> Никогда я не говорил, что Sendmail- это протокол.

2)http://zdnet.ru/?ID=448638&Discuss=1&Page=1
> А... понял я, что вы не поняли.:) Когда я про SMTP-engine говорил, вы не про Линуксо-Юниксовые ли сервера с Sendmail подумали?
 

fi
27 May 2004 7:51 AM
то Wintermute

Ну вот тебе ответ от AS. -))
> НИКОГДА я не советовал бороться со спамом проверяя MX records. Никогда.

Я же говорил, что он не знает, что это такое!!!

то n/a

Это еще в более ранних постах ;-), после чего ему посоветовали прочитать, чем отличается SMTP от sendmail и теперь он гнет пальцы :))
 

fi
27 May 2004 3:30 PM
Ну вот AS. и подставился ;-):

Вот что он писал по ходу дела, сперва:

> основной вал спама идёт с серверов Линукс и UNIX, на которых бежит проститутка Sendmail, разрешающая всякой суке подписаться любым именем отправителя.

...

> Если бы не этот дебильный "открытый" спаму протокол SMTP, если бы я видел не только IP но конкретный адрес отправителя- то у отправителя бы уже вируса не было- а
>
> Почему-то Оутлуковые вирусы с правдивым адресом отправителя пожили недолго, а вот Sendmail-based живут и процветают.

Вот что он подразумевал:
> >в sendmail обратный адрес тоже подставляется автоматически
> telnet openrelayineurope.idiotadmin.fi smtp
> helo fckoff
> ...
> MAIL FROM: fakesender@spamsender.eatmyspam.fi
> RCPT TO: homeuser@home.us
> DATA
> ***
> .
>
> Какой, простите, обратный адрес подставляется автоматически?

То есть SMTP. (впрочем то же сочинил, такой хлам не проходит) И вот он прозрел!

> А... понял я, что вы не поняли.:) Когда я про SMTP-engine говорил, вы не про Линуксо-Юниксовые ли сервера с Sendmail подумали?
> Ну так раслабьтесь- не наезжал я на сервера и на их квалифицированных админов!
>
> Вот вам переделанная моя фраза, чтобы без недопоняток:
>
> "А лес этот состоит из зомби-компьютеров домашних пользователей, на которых резвятся вирусы и внедрённый код удалённого контроля этими зомби-компьютерами.
>
> Эти зомби, используя SMTP-протокол, рассылают спам и вирусы на всевозможные MTA которые вынуждены принимать эту почту потому что протокол SMTP разработанный около 20 лет назад и поддерживающий его серверный софтвер (причём- не только Sendmail) неспособны определить имеет ли право компьютер Васи Пупкина в Мурманске посылать письма от имени абонетнов корпорации AOL.COM, или нет."
>

Начали с "проститутка Sendmail" и закончели "из зомби-компьютеров домашних пользователей"

Так что "ты есть лживая собака. " и "С тобой всё ясно, врун. "

Пришивай обованые яйца, АС.!

 

vIv
28 May 2004 12:35 PM
2AS:
ещё раз:
юзеры начнут спам отдавать для доставки своему провайдеру. и подписывать своим адресом.

КОМУ от этого станет легче?

А если спаммер и провайдер - это одно и то же лицо?

А если зомбированная машина действует под контролем того, у кого домен под контролем?
 

 

← апрель 2004 20  21  23  24  25  26  27  28  30 июнь 2004 →
Реклама!
 

 

Место для Вашей рекламы!