Print Page | Close Window

Another method to block spammers..(for Roberto)

Printed From: LogSat Software
Category: Spam Filter ISP
Forum Name: Spam Filter ISP Support
Forum Description: General support for Spam Filter ISP
URL: http://www.logsat.com/spamfilter/forums/forum_posts.asp?TID=6443
Printed Date: 24 October 2017 at 5:44am


Topic: Another method to block spammers..(for Roberto)
Posted By: rogi2
Subject: Another method to block spammers..(for Roberto)
Date Posted: 22 March 2008 at 12:25pm
I Roberto,
see this page http://www.unixwiz.net/techtips/postfix-HELO.html - http://www.unixwiz.net/techtips/postfix-HELO.html
Wink
Bye Igor



Replies:
Posted By: mbrusl
Date Posted: 25 March 2008 at 6:05am
Wow!!!  I like this idea.  Know what this means....if its implemented, systems that don't use the FQDN in the HELO along with the machine name and reverse IP?  I don't think spammer would have a prayer.  Legitimately that is.

Michael



-------------
Michael
support@spacequad.com
If blocked, use spacequad@hotmail.com
Spacequad Internet Services
Spacequad AntiSpam Services
Thunder Bay, Ontario
--------------------------------------------------


Posted By: LogSat
Date Posted: 26 March 2008 at 1:13pm
Igor,

SpamFilter logs the "HELO" domain that was used in the SMTP connection in the X header:

X-SF-HELO-Domain

we've done a very quick analysis of some email samples, and so far have not noticed cases where the scenario described in the article would apply. The sampling of email was not thorough at all however, so if anyone can provide further statistics that would show this request would help, we'll surely take it into consideration.







-------------
Roberto Franceschetti

http://www.logsat.com" rel="nofollow - LogSat Software

http://www.logsat.com/sfi-spam-filter.asp" rel="nofollow - Spam Filter ISP


Posted By: rogi2
Date Posted: 26 March 2008 at 4:00pm
now i receive in farm 8M e-mail at day (97% spam)...
and spamfilter work well only in SOLID DISK (Smile), in SAS or SCSI in 5 minutes ...hang
Is very very util if  the message not pass over missing Helo command or DNS Reverse Failure (and MX), or From <>.
If i active "Tag Spam in Subject & Deliver" the message pass and in X-RejectReasons appair for example: "3 - 557 Your IP X.X.X.X does not have a reverse DNS entry. Disconnecting..."
 
"Disconnecting..."? When? The message pass with tag-:) lol
Can you block really that connection?
 
Italian
---------------------------
Scusa, provo in italiano magari mi spiego meglio, in inglese sono un pochino una sola...
Molto semplicemente, come certamente sai, non si possono eliminare in alcun modo le mail di spam, e' illegale, ma achiviarle per una futura consultazione si (anche se non tutti i clienti lo capiscono..Angry)
Se non attivi la voce "Tag Spam in Subject & Deliver" le mail effettivamente non vengono accettate, ed il server remoto viene disconnesso... ma...perchè saltare questa regola quando lo si attiva attraverso il "Do not Quarantine"? Facciamo passare una mail in piu' che tanto sarebbe marcata spam, no?
Magari sarebbe piu' semplice, aggiungere una voce del tipo, "forza le regole contrassegnate anche se vuoi marcare lo spam" o qualcosa del genere...
in questo modo, realtà come le nostre, avrebbero sicuramente meno traffico e meno mail marcate SPAM, quindi quasi completamente inutili, da fargli scaricare.
L' archiviazione per la nostra realtà ad oggi è quasi impossibile, il db arriva a 16GB al giorno e lo spamfilter stesso, nonostante giri su solid disk, dopo le prime 2 ore crasha, se usiamo DB.
Magari sbaglio, per carita', pero' sarebbe una buona cosa secondo me', e' gia' un ottimo software.
Un saluto Igor


Posted By: LogSat
Date Posted: 27 March 2008 at 10:40pm
Igor,
Non sapevamo che in Italia era illegale cancellare lo spam. Sono "scappato" via in America 10 anni fa' proprio perche' volevo andari avanti nella vita e non indietro...
Se viene attivata l'opzione "tag and deliver", questa forza SpamFilter ad accettare *tutte* le emails che arrivano. "Accettare" vuol dire confermare con un codice SMTP 250 al server remote che l'email e' stata rcevuta e che verra' recapitata al destinatario. Ance se vengono accettate, le emails classificate come spam vengono iniettate con degli header che permettono al software a valle di agire come desidera l'amministratore su questo spam.

Legalmente (almeno "legalmente" per persone che ne capiscono qualcosa, al contrario di chi indossa toghe e di chi governa nella mia ex-patria - scusa lo sfogo) e' da notare che, se *non* si abilita l'opzione "tag and deliver", allora SpamFilter **non accetta** le emails spam. Al contrario, SpamFilter risponde con un codice SMTP 5xx al mittente. Per RFC2821 (la bibbia per quanto riguarda le comunicazioni emails) quando un server emette un codice 5xx in risposta ad un tentativo di spedire un'email, questo indicate al mittente che l'email *non e' stata ricevuta*. Questo e' ben diverso da averla cancellata. L'email non e' stata proprio ricevuta, quindi non c'e' nulla da cancellare.... "Ricevere" un'email vuol dire rispondere con un codice SMTP 250 al mittente. Qualunque altro codice di risponda indica che l'email non e' stata ricevuta.

Ora, se l'amministratore desidera, puo' conservare il contenuto del tentativo di messaggio non ricevuto in un database, ma ripeto, queste sono emails che non sono state mai ricevute, ed inoltre, mlto importante, il mittente e' stato gia' informato che non sono state recapitate tramite un email NDR mandatagli dal suo provider.

Tutto questo segua le regole della RFC 2821, che per fortuna non e' stata scritta in Italia.

Ma capisco il "mo' vallo a spiegare a quell'essere mummificato dietro il tavolo del giudice"....

In riguardo ai crash, se ci zippi e spedisci il log di SpamFilter per un giorno quando e' crashato, cerchiamo di vedere cosa e' successo, perche' anche se ricevi 1-2-3 milioni di emails al giorno, SpamFilter non dovrebe crashare. Se il file e' piu' grande di 5MB, contattaci via email a support@logsat.com cosi' possiamo mandarti le info per passarci il file via ftp.


-------------
Roberto Franceschetti

http://www.logsat.com" rel="nofollow - LogSat Software

http://www.logsat.com/sfi-spam-filter.asp" rel="nofollow - Spam Filter ISP


Posted By: rogi2
Date Posted: 28 March 2008 at 12:15pm
Sfogo + che lecito...Nuke...stendiamo un velo pietoso, ti invidio..no comment.
 
Ho notato che lo SpamFilter si inkioda quando raggiunge circa 300/400 connessioni contemporanee; và semplicemente in freezing e nei log ho già cercato piu' volte ma non dice nulla; oltretutto sono costretto a bloccare il servizio dalla console services e la GreyList, il piu' delle volte si azzera automaticamente...
Ho letto qualcosa un po' di tempo fà su di un sito russo ( ci sono finito per caso) relativamente a Delphi e gli array dei socket che davano un problema di timeout dopo un tot di connessioni con stringhe di un certo tipo, accumulandole, e quindi non piu' gestendole mantenendole in una specie di "limbo eterno" fino al crash...ma...siccome non sono un programmatore Borland... non ero sceso nei dettagli e non l' ho preso in considerazione, se trovo il link te lo giro; magari dico una kazzata e non ti serve...per carità...
 
La situazione attuale e' la seguente:
fino a quando il traffico si mantiene sulle 100/<=200 CONNESSIONI contemporanee non ci sono problemi, posso usare la Grey, la limbo etc.. il processo si mantiene al 40% di CPU e la ram a circa 1,2 GB.
Ma se vengono superate, gli hang sono piu' frequenti, quindi devo disabilitare la limbo.
 
Sono riuscito parzialmente a risolvere il problema tramite un' alchimia:
1. Ho sviluppato un software che passa a scansione server web che mandano news letter e /o sono server smtp o semplici server web che mandano mail dai siti (tipo google,hotmail,yahoo etc...), controllando la presenza delle relative RND, il tutto risottoposto a controllo ogni 7 giorni.
2. Stoppo il servizio regolarmente da comando, in maniera tale che lo spamfilter chiuda i socket attivi ed aggiorni i suoi parametri; una volta sparito il suo PID procedo con le modifiche per la greylist (della quale ho lasciato invariati i parametri da voi inseriti nel file ini) e lo riavvio; ci mette circa 1 minuto ad attivarsi, poichè il file di testo è enorme ovviamente, ma gli hang si sono ridotti moltissimo, quasi annulati.
 
E' certo che se tutto questo lo facesse lo spamfilter sarebbe una bomba!
 
PS: il log ve lo manderei, ma haimè di media è 4GB...sicuri?
--------------------------------------------------------------------------------
Un saluto, il sistemista paranoico...lolTongue
--------------------------------------------------------------------------------


Posted By: jerbo128
Date Posted: 28 March 2008 at 12:29pm

I don't know about everyone else who can't speak Italian, but I think I missed something in the last 2 posts.......

To me, it sounds like:  "Roberto has a copy of Spamfilter Super Enterprise 2008 Vista Datacenter Longhorn Server?? "
 
Sorry, couldn't resist.....Tongue


Posted By: rogi2
Date Posted: 28 March 2008 at 12:40pm

ops..

sorry for italian..Censored

Now i speak only in english in forum.

 



Posted By: jerbo128
Date Posted: 28 March 2008 at 12:47pm
no problem here
 
Just a bad attempt to be funny.
 
I figure if it is something everyone needs to know, Roberto will translate to everyone else.
 
Jeremy


Posted By: LogSat
Date Posted: 28 March 2008 at 5:42pm
Ok, I'll go in english too, and it's better I don't translate what I was saying in italian as they were not technical comments but rather venting about why I left italy :-)

Going back to the tech stuff, Igor, SpamFilter should be able to handle a several thousand concurrent connections if the hardware has enough CPU, there should not be any issues with the sockets (at least none we're aware of). There may be other issues however, which is why we'd like to take a look at the logs. 4GB logs should compress to a few hundreds megs or less, so that won't be a problem. I'll PM you the ftp information. if you're talking about 4GB already compressed, then, as a side-note, you may want to enable to option in the SpamFilter.ini file that splits the logs on user-defined intervals (if you haven't done so already), so as to improve performance. If they are already split, just zip them individually and upload them over!


-------------
Roberto Franceschetti

http://www.logsat.com" rel="nofollow - LogSat Software

http://www.logsat.com/sfi-spam-filter.asp" rel="nofollow - Spam Filter ISP


Posted By: rogi2
Date Posted: 07 April 2008 at 7:41am
ok, i send you when i have little time..lol
 
Another idea for add in in Greylist...
If sender ip is added in grelystallowed, and it is a spam source at 100% (maps, keywords etc..) can you remove it automatically and immediatelly? hihihiWink
Good idea?
 
Bye



Print Page | Close Window