evitar spam dentro de mi servidor
Horst von Brand
vonbrand en inf.utfsm.cl
Lun Feb 14 23:36:54 CLST 2005
"Miguel Oyarzo O." <admin en aim.cl> dijo:
> At 11:33 p.m. 12/02/2005, Horst von Brand wrote:
> > Por ahora, greylisting (o sea,rechazar mensajes esperando que un
> > servidor legitimo reenvie, los spammers disparan y olvidan) es
> > extremadamente efectivo (de cientos (!) de mensajes diarios bajo a una
> > media docena).
> Greylisting es un metodo muy efectivo para servidores SMTPs estandares.
Yep.
> Su talon de aquiles es justamente ese: Cuando los spammers estandaricen
> sus SMTPs ocacionales entonces Greylisting sera mas inutil que el spam.
Cuando los spammers decidan reintentar enviar su basura si al primer
intento no pasa sera inutil. Pero eso para ellos hoy no es rentable, porque
significa destinar mas recursos al envio de basura. Lo que si estan
haciendo ya es activamente buscar MTAs que les den relay (p.ej. el MTA de
la red donde esta el PC zombie), y /esos/ son los que encolan y reintentan.
Pero eso a su vez los hace mas visibles para la administracion (por la
carga extra sobre el MTA). Aunque cerrar SMTP directo hacia afuera igual
revienta la inmensa mayoria de los zombies actuales...
Igual, esto es una carrera armamentista: Inventan una manera de distribuir
su bazofia, se inventa(n) manera(s) de contrarrestar eso, mejoran la
tecnica de distribucion, ... No hay como "ganar" esta guerra. Inicialmente
pasaba un spam cada par de dias, ahora ya van en media docena al dia.
Y notese que greylisting funciona /sin/ participacion activa del MTA origen
(como exige SPF y otros esquemas de "registrar MTAs legitimos"), y cuando
greylisting deje de servir SPF estara muerto tambien (quien se imagina que
los spammers /no/ inscribiran dominios con su complemento de registros SPF
cuando valga la pena es un iluso). Notese que incluso sin SPF se pueden
tomar medidas bastante efectivas en forma sencilla, como simplemente cerrar
SMTP desde maquinas no servidores de correo (pero nadie lo hace (o al menos
no los suficientes para hacer diferencia real), por lo que esquemas estilo
SPFista que exigen accion explicita del administrador del MTA sin que este
vea efecto directo simplemente no sirven).
> Por ahora hay que creer que el error 450 (deferred) podrá confundir a los
> software spam.
No se trata de confundirlos, precisamente. Se trata de forzarlos a
reintentar, que hoy dia no hacen (tengo unos 115 mil registros de intentos
de entrega, con unos 4500 servidores legitimos).
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
Más información sobre la lista de distribución Linux