Re: Om spam och blocking - flera dagar (nästan)utan spam

Mathias Stjernström mathias at globalinn.com
Wed Jan 24 17:19:24 CET 2007 

Det finns ganska bra RBL/DNSBL som just samlar på dynamiska ip-range,  
så slipper man göra hela jobbet själv.
Men det som har fungerat överlägset bäst för oss hittills är  
greylisting.

Det har tagit bort i princip alla spam förutom några få som kommer  
ifrån hackade servrar inifrån företagsnät. Fick ett i förgår inifrån  
nokias nät, skickat genom deras mailserver, det är inte så mycket att  
göra åt sådana spam, men dom brukar o andra sidan täcka igen den ägda  
servern ganska snabbt.

http://en.wikipedia.org/wiki/Greylist
http://en.wikipedia.org/wiki/DNSBL

/mathias



On Jan 24, 2007, at 16:45, peter h wrote:

> En personlig approach på spambekämpning, läs om du är intresserad.
>
>
> Länge har jag haft mycket spam. Det blir så om man publicerat sig  
> någonstans.
>
> Då de "vanliga" spamcop, spamhaus SPEWS inte räcker fram började jag
> i ren desperation att "whoisa" de spam jag fick.
>
> Så småningom började ett mönster visa sig, spam kommer numera till 99%
> från "adsl/cable" nät, dvs bredbandsanslutna windowsdatorer som
> stulits av spammare.
>
> Vissa ISP tycks strunta blankt i detta och tillåter missbruket.
>
> Så småningom uppstod tanken att blocka dessa i "access" ( med en liten
> hack så man kunde uttrycka CIDR-ranges.
>
> Då jag har flera mailservers fick jag kopiera och customisera access
> tvärs över. Ända till det slog mig hur det naturligtvis skall göras :
> i en dns-baserad blocklista.
>
> Några timmars pyssel och jag kunde generera en dns-zonefil i stället.
> Nu blev det bara några sekunders arbete att addera en "ignorant" isp.
>
> Numera har jag 450M ip-adresser och får (nästan) inga spam. Inte  
> heller
> saknar jag mail ( men jag har nog inte så många brevvänner i
> turkiet eller korea)
>
> Gjorde dessutom en liten räknare som visar hur fördelningen
> av blockning blir per cidr-size.
>
>
> Generate SOA
> Add access
> /5        0  HOSTS: 0  Totalt: 0
> /6        0  HOSTS: 0  Totalt: 0
> /7        2  HOSTS: 67108864  Totalt: 67108864
> /8       16  HOSTS: 268435456  Totalt: 335544320
> /9        0  HOSTS: 0  Totalt: 335544320
> /10        4  HOSTS: 16777216  Totalt: 352321536
> /11       10  HOSTS: 20971520  Totalt: 373293056
> /12       26  HOSTS: 27262976  Totalt: 400556032
> /13       32  HOSTS: 16777216  Totalt: 417333248
> /14       45  HOSTS: 11796480  Totalt: 429129728
> /15       39  HOSTS: 5111808  Totalt: 434241536
> /16      177  HOSTS: 11599872  Totalt: 445841408
> /17       81  HOSTS: 2654208  Totalt: 448495616
> /18       69  HOSTS: 1130496  Totalt: 449626112
> /19       59  HOSTS: 483328  Totalt: 450109440
> /20       53  HOSTS: 217088  Totalt: 450326528
> /21       19  HOSTS: 38912  Totalt: 450365440
> /22       12  HOSTS: 12288  Totalt: 450377728
> /23       12  HOSTS: 6144  Totalt: 450383872
> /24       76  HOSTS: 19456  Totalt: 450403328
> /25        1  HOSTS: 128  Totalt: 450403456
> /26        1  HOSTS: 64  Totalt: 450403520
> /27        0  HOSTS: 0  Totalt: 450403520
> /28        0  HOSTS: 0  Totalt: 450403520
> /29        3  HOSTS: 24  Totalt: 450403544
> /30        0  HOSTS: 0  Totalt: 450403544
> /31        0  HOSTS: 0  Totalt: 450403544
> /32       12  HOSTS: 12  Totalt: 450403556
> ./cidr2zone -n -T <  manet2 - | sort -t.  +4 +3 +2 +1 -n | uniq >>  
> spews2.db
> /usr/local/bin/named-checkzone spews2.manet.nu spews2.db
> zone spews2.manet.nu/IN: loaded serial 701241616
> OK
> rndc reload
> server reload successful
>>
>
>
> Tittar jag i en mailserver har jag analyserat vad som blockar spam,
> "man-2" är denna blocklista :
>
>
> Total=180, Spam=161 ( 89%), Accepted=19  Wed Jan 24 16:43:50 CET 2007
> Sorbs Manet Man-2 Spamcop spamhaus STrap Manual RelDeny DNS rDNS  
> Forged PreGr
>    30     2    66       9       4      0     2      8     8      
> 0     0    40
>
> ( här är ungefär halva dygnsvolymen medtagen)
>
> Fördelen med blocklistning är att jag kan ignorera utvecklingen
> av nya "innehållsformat" jag blockar allt från en viss ISP/region.
>
>
>
> -- 
>         Peter Håkanson
>
>         There's never money to do it right, but always money to do it
>         again ... and again ... and again ... and again.
>         ( Det är billigare att göra rätt. Det är dyrt att laga fel. )
> _________________________________________________
> BSD Users Sweden -- BUS at stacken.kth.se
> https://lists.stacken.kth.se/mailman/listinfo/bus

-------------- next part --------------
En bilaga som inte var text, skiljdes ut...
Namn       : PGP.sig
Typ       : application/pgp-signature
Storlek: 478 bytes
Beskrivning: This is a digitally signed message part
URL        : http://lists.stacken.kth.se/pipermail/bus/attachments/20070124/84990552/PGP-0001.bin

More information about the BUS mailing list