Re: как спасти клиентов от спамерства

From

Valentin Davydov (2:5020/400)

To

Kir

Date

2006-11-22T10:18:28Z

Area

RU.UNIX.BSD

From: Valentin Davydov <val@sqdp.trc-net.co.jp>

>   From: Kir <kirill@alphaclub.net>
>   Date: Tue, 21 Nov 2006 22:02:33 +0000 (UTC)
>
>Клиент с фейковым айпи заражается вирусом, который начинает слать во все
>концы почту по 40-60 килобайт со скоростью несколько сообщений в секунду.
>В итоге клиент теряет кучу денег умудряясь потерять гдето гиг исходящего
>трафика за 2-4 часа. мне то конечно выгодно, но это грязные деньги :-)
>
>Вопросы.
>
>Как имея шлюз в инет под FreeBSD, наиболее правильно предотвращать такую
>гадость? Тупо закрыть 25 порт не хотелось бы, некоторые отсылают,
>например, через mail.ru напрямую.

Например, mail.ru имеет для отсылки http-интерфейс. В конце концов, для 
таких желающих можно особой услугой открыть 25-й порт куда попало (всё
равно там не примут ;-).

>Почтавить снорт и отслеживать такие вещи
>можно? не ресурсоемко ли это будет для загруженого под завязку
>двухмегабитного канала?

Да для двухмегабитного канала ничего не ресурсоёмко будет, вот для 
админа - да.

>Подскажите кто решал такую проблему или кинте ссылкой.

Пока что эффективна отсылка через локальный релей и запрет 25 tcp-порта 
наружу. Как оно дальше будет - не знаю, спамеры изобретательны.

Вал. Дав.

--- ifmail v.2.15dev5.3
 * Origin: Demos online service (2:5020/400)
SEEN-BY: 50/12 400/814 450/159 1024 461/43 132 640 469/999 4616/3 4625/8
SEEN-BY: 4641/444 5000/76 5000 5006/1 5007/1 5010/70 5011/13 5012/46 5015/28
SEEN-BY: 5019/31 5020/18 175 194 400 545 982 1057 1909 1922 2238 2395 2871
SEEN-BY: 5020/4441 5021/29 5025/3 5026/14 45 5027/12 5030/1080 1957 5034/10 13
SEEN-BY: 5035/3 38 5036/1 5045/7 5049/1 5051/15 5054/1 4 8 9 11 28 35 36 37 45
SEEN-BY: 5054/63 66 67 70 75 84 85 5059/9 5060/88 5061/15 5062/10 5063/3
SEEN-BY: 5064/7 5066/18 5075/5 5076/1 5077/70 5080/1003 5084/9 5085/13 5095/20
SEEN-BY: 5096/18 6001/10

PATH: 5020/400 545 5054/1 37