-
#42
ProClub és MrPrise -
MrPrise:
A legprofibb megoldás - Ez a legnagyobb problémára a spammerek között, hogy ugyan a botnet hálózat dinamikus tartományokból küld, de csak a dedikált szerverek rendelkeznek reverzével. Szóval, ha felálítanék egy saját servert reversével és elkezdeném onnan a relayt, akkor kb 10 perc alatt megburulna a rendszer és a szervert beszippantaná a blackhole, minden nagyobb spam adatbázisban ott lenne az dedikált ip cím, host, Spamhouse, abuse, spamcop.
Szóval ez nem járható út. Dinamikus tartományról hozzád nem kerül be a levél.
De mégis tudok egy módszert "amit most írok" ami még hozzád is bejutatja a spamet.
De egyébként a te szűrési módszered annyira agresszív, a legbrutálisabb de a legértéktelenebb is a kommersz szolgáltatók szempontjából.
Mondom is hogy miért.
Egyszerűen csak azért mert csak a nagyobb mx szerverektől küldött levelet kaphatnak szabad utat a posta fiókodba. Tehát ha pistike próbál neked levelet küldeni a home smtp vagy all in one mail programjával akkor nem fog sikerülni neki.
A linuxos sendmail sem fog működni, amit privát web szervereken elég sűrűn használnak a beépített smtp-vel. Ha nics dedikált host, akkor ez sem fog hozzád bejutni, és így akik tőled keresztül kapják a mailt a weben a legtöbb webhelyre be se tudnak regisztrálni majd arra a mail címre amit a te pajzsod véd.
Szóval egyértelműek a hátrányok, de az igaz hogy a spammek 99% át szűri.
Kivéve azt amin épp most dolgozok.. igaz csak lustán.. néha néha veszem elő a projectet.
Egy javában írt Http motor az alapja a SF.NEt-ről, ssh, secure http támogatással, frameket kezel, mindent tud amit a firefox is, van benne java és html parser is. Szóval egy komplett böngésző motor, de egyszerűbb mint a mozillájé. Kényelmesen lehet irányítani fügvényhívásokkal.
Annyit csinál,hogy több script parancs fájl szerint mozog a neten, a script szerint fog böngészni, egy robot böngésző egyszerűen kifejezve.
Annyit csinál,hogy beregisztrál nagyobb webes szolgáltatókhoz, közben elküldi a kapcsát megfejtésre egy "emberhez", aki napi 8 órán át csak kapcsákat fejt meg, a program sikeresen beregel egy véletlenül összeálított címre amit algoritmus alapján állít össze egy dictionariből.
Majd bejelentkezik és a már lentebb említett dinamikus tartalom összeálító rendszer elpostolja a serveroldalra a jól felépített, reklámot. Minen szó, minden mondat más és más, egy hatalmas adatbázisból építkezve, de a mondani valója ugyan az, content szűrők nem tudnak vele mit kezdeni, mert megérteni nem fogják azt hogy a " Hello, szeretnék ajánlani neked egy fantasztikus utazást" és a " Szia, találtam számodra egy nagyon jó kikapcsolódási lehetőséget" ugyan azt jelenti csak máshogy kódolva.
Egy ilyen mail címről egy optimális darabszámú reklámot küld ki, amit még a mail szerver is tolerál, mindezt persze több proxy mögül ,hogy ne legyen gyanus a web szervernek az ip cím amin a scriptelt böngésző működik, több tíz szálon egyszerre.
Ha ezzel a módszerrel küldöm ki a levelet, még hozzád is be fog jutni, mivel az üzenet egy dedikált hostról jön, ami a fehér listán is szerepel. Csak a content elemző szűrheti ki, a tartalom alapján. Ami ezzel a módszerrel, rettenetesen nehéz lesz. A gyenge pont: A reklámban ha linket kell elhejezni akkor meg kell oldani hogy mind vagy sok különböző legyen. Ez pénz kérdése és programozott domain managment kezelésé.
Ezt most csak így elnagyoltan körülíttam, persze a részletekbe nem folyok bele, kevés lenne ide ahoz ezy oldal.
Ha a másik oldalon álnék én direktbe magyarországra optimalizált több kapus Spam-Shield et csinálnák. Egy open már meglévő szűrőt átalakítanék.
Minden ip címet ami megjelenik a headerben tárolnék és vizsgálnék.
Ha adott időn belül valamilyen értéknél több ilyen ip ről jön üzenet akkor, vizsgálnám ,hogy milyen host, a nagoybb mx serverk és fehér listások átmehetnek.
A többi megszűrésre kerül, és a rendszergazda dönti el hogy mely hostokról negd be levelet ami nincs reverzélve, de web web szervernek tűnik, ebből nem sok lesz, mert ha nem spammol egy web szerver nem fog percenként 5-6 nál több levelt küldeni ebbe a tartományba.
Dynamikus ip ről is engednék be levelet, DE csak percenként egyet kettőt max, azonos ip ről.
A tartalomból minden linket elmentenék, úgy hogy vizsgálom,hogy a linkek melyik web oldalra löknek át, framet is vizsgálnék. Ezt azért mert sok ilyen link átirányító dolog van a neten, és a www.paraszt.fer.net átlökhet a www.warez.tx.hu ra is.
Szóval ha egy link célpont sokszor szerepel, a levelekben akkor az vagy spam, vagy a szolgáltató által küldöt legális hírlevél, ezt szintén a rendszergazda bírálja el. Csak kliggelget, egy listán kersztül. A linkek csökkenő sorrendben lesznek a szerint hogy hány db ot talált az összes bejövő levelkben.
Az a típusú levél áradat ami "Szia! Nézd már milyen oldalt találtam, annyira megéri innen tölteni, hogy el sem hiszem! Rég beszéltünk, majd este átmegyek fél disznót sütni." azok mind dinamikus tartományból jönnek egy azon ip címről. Amit a bajáék meg ferikéék követnek el CFM.hu. Ilyen atomic mail sender tipusú bomberrel küldik ki, ezzel a módszerrel amit én itt most leírtam, ezekenek abban a pillanatban befellegzik. Viszont a legális tömeges reklám szolgáltatások szabad utat kapnak továbra is, vagy lehetne opcionálisan álítgatnia a fiók tulajdonosnak hogy még akkor azt sem kérném ha be X elek egy kapcsolót.
De még mindig nem tökéletes a dolog.
Mi van ha a spam a yahoo.com-ról vagy a hotmail rendszeréből jön a fentebb leírt módszerrel. Már van rá erre is példa.
Ilyenkor egy profin megépített HoneyPot rendszer segíthet.
Minden olyan hibát kiküszöbölve amit most ismerek.
Minden rendszergazdának aki a shildet használja kötelező lenne olyan fiókokat üzemeltetnie aminek a címét elszórja szana szét a weben, de csak a html kódot átnéző spider botok számára jelenik meg. Ergo, minden olyan levél ami ezekre a címekre érkezik azok olyan rendszerből jöttek amit egy olyan program üzemeltet ami a webről szedi egy program segítségével a címeket.
Tehát nem ember küldi és spam.
A rendszergazda az ilyen fiókokra beérkező leveleket átvizsgálja és a spamek tulajdonságait, jellemzőit egy két kattintással már küldi is el a központi adatbázisba, amit a tartalom elemző , szűrő rendszerek használnak.
Tehát ha egy spam átcsúszik a pajzson, és van benne olyan utalás ami az adatbázisban nyilvántartott spamokra jellemző akkor megbukik.
Ha becsúszik a csapdába egy olya levél amiben olyan link van ami a www.warezpisti.hu oldara mutat akkor az a levél megbukik.
A csapdák mind egy igazi postafiókok lesznek amiket a rendszer gazda hoz létre kötelező szerűen, időközönként újakat. És nem olyan gépies minták alapján amit a yahoo és hotmail is használ, amit egyébként "helo" válasz alapján is szűrni lehet.
Az ilyen csapdáknak egyszerűen nincs szűrőjük, ezért gyanusak. :)) Ha valami túl könnyű az gyanus.
Meg még van egy két apróság, de ezek lennének a legütősebbek. Remélem nem hagytam ki semmi fontosat.
Ha fizetnének, és adának mellém 3-4 embert, fél év alatt mindent meg lehetne valósítani, kulcsra készen letesztelve. De amíg nem kérnek fel erre addig marad a spambotok írása, és a scriptelt böngészőm fejlesztése.