хитро№;%ый СПАМ, ЯХА бессильна :(...

[Sanych]

Друзья-родственники в России (причем программеры ) , как я их не просил, таки несколько раз сделали веерную рассылку, высвечивая по 30-50 адресов. Таки адресок моего мыла пошел гулять по Address Books бескрайних просторов родины, и... последнее время (наверняка не я один такой) потонуло яховское мыло в море спама...
Причем явно "умного" происхождения, типа:
============================
Ц,е,н,т,р ffzLI
А,м,е,р,и,к,а,н,с,к,о,г,о wHFZxQbtv
А,н,г,л,и,й,с,к,о,г,о eHN
.....................
Тел 1-0-5-5186
============================
и далее комбинация слов со скрытыми невидимыми буквами внутри визуально читаемых слов. То есть война против спам-фильтров.

Адреса ессно явно фальшивые, а вот Received: from показывает .at, .de, .au, .be и так далее. Весь спам валит русскоязычный.

IP адреса похоже назначаемые на dialup/dsl соединение, вряд ли Static.

Яха против них похоже вообще бессильна. Все валится в Inbox

Интересно, нарисовалась ли на горизонте хоть какая панацея от такого вида спама? Может есть какие прогрессивные методы?

Может ли быть толк от этих IP? Можно пока только составить коллекцию телефонов в этой рекламе. На 95% - московские. Мабуть эти телефоны куда поподписывать на подобную же рекламу?

В общем интересно, есть ли какие идеи, и вообще, не умрет ли нынешний почтовый протокол (ы) в свете спаммерской войны?

BTW, что могут означать два таких поля в одном письме:
Received: from 200.168.14.79 (HELO 200-168-14-79.dsl.telesp.net.br) (200.168.14.79) by mta182.mail.scd.yahoo.com with SMTP; Mon, 06 Oct 2003 12:50:25 -0700
Received: from cerias.purdue.edu [30.229.75.87] by 200-168-14-79.dsl.telesp.net.br (Postfix) with ESMTP...

Thanks!

[lozzy]

Дык ведь это же Центр Американского Английского С ними бороться бесполезно Уж как только не боролись...

Могу только предложить пользоваться системой с "пре-аппрувом". Суть такова - если вам кто-то пишет, то на тот адрес приходит письмо, мол, ежели хотитие, что бы до адресата дошло - идите по этому URL. А там картинка разноцветная да кривая, и буковицы с циферками на ней написаны. Человек, ясное дело, прочитает, а машина - вряд ли... Ну вообщем вбивает отправитель код - и вносится он в "хороший" список. Больше ему не надо будет делать то же самое. Супостат не пройдет. Правда системы такие зачастую платные

[Sanych]

Центр английского - это только пример. Валит реклама на все что угодно. Но вот технология подобная. Похоже мейл-сервер работает в момент dial-up соединения (или еще какого) и отключается.
Вот примеры:
host123-27.pool80180.interbusiness.it
host217-44-220-21.range217-44.btcentralplus.com
adsl-68-248-4-177.dsl.sfldmi.ameritech.net
200-232-212-174.dsl.telesp.net.br
200-168-14-79.dsl.telesp.net.br

Может запускают сервер remotely на случайных компах? Тогда все это полностью зависит от того, кто как свой комп защищает от атак извне

А как на яхе воспользоваться "преапрувалом"? Это возможно?

[GShapiev]

Та же байда.
Только я решил проверить как Яха работает.
Старательно прохожу по всему спаму и кликаю на ссылочку "This is spam"
Три раза тьфу, последние 3 дня не больше 2-3 писем в день.

[Sanych]

Вот еще один образец народного творчества:

0yD
9ia
5g
Au
9 u
2 TE
3 aW
-
8 u
9 h
-
4 Z
1 e

Телефон указан вертикально, буквы же отформатированы невидимыми. Дует ветер от adsl-64-160-183-217.dsl.snfc21.pacbell.net , очень похоже, что запускают этих жучков на компах расслабленных граждан капиталистического мира

Вроде яха уже большинство этого дела стала пересыпать в BULK. Но в Inbox пока еще сыпется...

[A. Fig Lee]

Вот еще один образец народного творчества:

0yD
9ia
5g
Au
9 u
2 TE
3 aW
-
8 u
9 h
-
4 Z
1 e

Телефон указан вертикально, буквы же отформатированы невидимыми. Дует ветер от adsl-64-160-183-217.dsl.snfc21.pacbell.net , очень похоже, что запускают этих жучков на компах расслабленных граждан капиталистического мира

Вроде яха уже большинство этого дела стала пересыпать в BULK. Но в Inbox пока еще сыпется...

Если я правильно помню, Вы совершенно правы. Аутбрейк произошел после августовского путча - когда пучило Интернет Експлорер.
Сейчас спаммеры по засовывали в дырки всем кому могли свои релаи через дыры в експлорере i Windows и измываются над всеми. До етого блеклисты довольно неплохо справлялись.

[Sanych]

> Аутбрейк произошел после августовского путча - когда
> пучило Интернет Експлорер

Вооооона что творится ... NT/2000/XP поют теперь свою лебединую песню про Blast Worm с суфлированием извне RPC rulezzzz ...
А что, авторство августовского червяка было российское?

Идея конечно крутая...

[A. Fig Lee]

> Аутбрейк произошел после августовского путча - когда
> пучило Интернет Експлорер

Вооооона что творится ... NT/2000/XP поют теперь свою лебединую песню про Blast Worm с суфлированием извне RPC rulezzzz ...
А что, авторство августовского червяка было российское?

Идея конечно крутая...

Нащет авторства - не в курсе.

[Sanych]

Вот и еще один фокус нарисовался:
Ставится прошлая дата, в результате новое сообщение тонет где-то в дебрях полученных, пока не отыщешь - стоит метка, мол есть непрочитанные сообщения. У яхи кажется по непрочитанным не сортируется, так что искать приходится.
Правда этот спам похоже пришел с АОЛа, а не с "засекреченного" у расслабленных юзеров мейл-сервера.

[A. Fig Lee]

Вот и еще один фокус нарисовался:
Ставится прошлая дата, в результате новое сообщение тонет где-то в дебрях полученных, пока не отыщешь - стоит метка, мол есть непрочитанные сообщения. У яхи кажется по непрочитанным не сортируется, так что искать приходится.
Правда этот спам похоже пришел с АОЛа, а не с "засекреченного" у расслабленных юзеров мейл-сервера.

Кроме того, их посылают как message Delivery-status: undelivered mail,
что делает их трудно боротся со спамом.

[Gori]

Ставится прошлая дата, в результате новое сообщение тонет где-то в дебрях полученных, пока не отыщешь - стоит метка, мол есть непрочитанные сообщения. У яхи кажется по непрочитанным не сортируется, так что искать приходится.

Я тоже одно время мучился. Потом нашел у яхи View All / Unread / Flagged. Щелкаешь на Unread и видишь все непрочитанные только

[Sanych]

Яха все таки дура Несмотря на репорты о спаме, ежедневно по 5-6 минимум сыпется в Inbox.
Вот еще шедевр борьбы с фильтрами:

Комxпания «dxeDAODTRANSPIwGmbjHtkB» предлагаетJВамXполныйxкомплексFуслугNпоPqPтаможенTнойIочисткеZВашихBгруkзовiвjзонеcдеятельностиD Московскогоkрегиона,aвключающийbвnсебя:
CVLvTgj1U21En9
ygR1. Достаoвка Pnzгрузов из ЗападнойiЕвропы,...
................................................
UhqЗвонитеWиAпишите,iРадыTсJВамиeсотрудничать !!!HgD

KcRТелефоны: (095) WyVM7~4~8w81k50X,hxo u7~4~8C81F58aHh
UNyEPmailo: fura@altern.orgHJa

Ессно "мусорные" символы вставлены невидимым фонтом. Эдак скоро адресок придется таки прикрыть

PS На какие "журналы" подписать бы выловленный в тексте e-mail? Предложения?

[GZ]

PS На какие "журналы" подписать бы выловленный в тексте e-mail? Предложения?

Когда приходит больше пяти писем с одного ( реального ) адреса, то я иду на www.sex.com и подписываю клиента на пяток рассылок. Больше и не надо - они сами обмениваются базами данных.

[Privet]

Дык ведь это же Центр Американского Английского С ними бороться бесполезно Уж как только не боролись...

....(

Интересно, известны реальные организаторы этого "центра"? Опубликовать бы их _домашние_ телефоны. Я бы пообщался... днём по нашему

[Sanych]

Я пока что коллекционирую телефончики, фигурирующие в рассылке. Может когда нить и телефончики можно будет подписать "на журналы" Теоретически можно спросить на этих телефончиках, где они заказывают эту рекламу ... да вот как оно будет практически
А коллекцией могу поделиться в любое время

[Frank]

Ну, вы и даёте!

Для борьбы со спамом на почтовый сервер ставится простенькая программка SpamAssassin www.spamassassin.org Одно плохо, её разработчики не допетрили, как пишутся программы на С, поэтому предлагают её на Perl. Да и бог с ним.

Многие русские спаммеры, в том числе и американский центр, пользуются какой-то одной программой, которая лепит особые заголовки в письме, чтобы противодействовать SpamAssassin.

References: <313763525E9CFC91@xxxx.ru>
In-Reply-To: <313763525E9CFC91@xxxx.ru>
Message-ID: <77A6D6C096B028E6@adsl-63-207-12-169.dsl.snfc21.pacbell.net>

Так вот добавляешь в настройках SpamAssassin большие очки для тестов на эти заголовки и перестаёшь получать всю эту бодягу.

score IN_REP_TO 2.5
score REFERENCES 2.5

Можно ещё убивать письма только в html:
score MIME_HTML_ONLY 2.5
score HTML_MESSAGE 1.0

А ещё она по чёрным спискам проверяет...

Можно и свои правила сбацать:

body RU_AMERICAN /7.{0,3}7.{0,3}8.{0,3}9.{0,3}8.{0,3}9.{0,3}4|2.{0,3}3.{0,3}8.{0,3}3.{0,3}3.{0,3}8.{0,3}6|4.{0,3}1.{0,3}1.{0,3}0.{0,3}2.{0,3}3.{0,3}2|[1I].{0,3}[0O].{0,3}5.{0,3}5.{0,3}[1I].{0,3}8.{0,3}6|5.{0,3}[1I].{0,3}8.{0,3}6/i
describe RU_AMERICAN american language center phones
score RU_AMERICAN 50.0

И в blacklist можно попытаться добавить некоторые dsl линки:
blacklist_from *@*.*.charter*.com
blacklist_from *@*.*.comcast.com
blacklist_from *@*.*.comcast.net
blacklist_from *@*.dyn.optonline.net
blacklist_from *@*.*.charter-stl.com
blacklist_from *@*.*.adelphia.net
blacklist_from *@*.*.fuse.net
blacklist_from *@*.*.swbell.net
blacklist_from *@*.*.pacbell.net
blacklist_from *@*.*.bellsouth.net
blacklist_from *@*.*.verizon.net
blacklist_from *@*.*.dsl-verizon.net
blacklist_from *@*.*.rr.com
blacklist_from *@*.*.btcentralplus.com
blacklist_from *@*.*.videotron.ca
blacklist_from *@*.*.ameritech.net
blacklist_from *@*.*.centurytel.net
blacklist_from *@*.*.alltel.net
blacklist_from *@*.*.hansenet.de
blacklist_from *@*.*.speeduol.com.br
blacklist_from *@*.*.chello.se


Между прочим, как-то имел печальный опыт борьбы с создателем программы для рассылки спама, заработавшим на ней не одну сотню тысяч долларов. Только написали письмо шефу конторы, в сети которой стоит их сервер, он сразу прибежал и начал стращать обвинениями в клевете, мол он занимается только честным бизнесом.

[Sanych]

> Ну, вы и даёте!
> Для борьбы со спамом на почтовый сервер ставится
> простенькая программка SpamAssassin
> www.spamassassin.org Одно плохо, её разработчики не
> допетрили, как пишутся программы на С, поэтому
> предлагают её на Perl. Да и бог с ним

Чудесно!
А теперь пожалуйста научите как эту штуку поставить на почтовый сервер Яхи
Спасибо...

[DenisM]

Ну, вы и даёте!

Для борьбы со спамом на почтовый сервер ставится простенькая программка SpamAssassin www.spamassassin.org
...

Жесткие правила, к тому же общие для всех на сервере - это не выход, адреса в e-mail можно поставить совершенно произвольные, все равно можно обойти. На работе у нас был Spam Assassin, но спам прорывался anyway ( хотя и меньше ). На мой взгляд, намного более продуктивный подход - это использование обучаемых программ, работающих на основе анализа полного текста письма и headers с помощью байесовских алгоритмов. Я использую сейчас бесплатный http://popfile.sourceforge.net/, вот моя статистика за последний месяц:

nospam 3,749 ( 78.39%)
spam 1,033 ( 21.6%)

Классифицированные письма: 4,782
Ошибки классификации: 45
Точность: 99.05%

Одно небольшое неудобство - занимает довольно много памяти ( написана на perl ), может кто-нибудь может посоветовать что-либо аналогичное, но написанное на C/C++?

[Fielder]

Так spamassasin тоже ето умеет (байесовских алгоритмов)

[A. Fig Lee]

Жесткие правила, к тому же общие для всех на сервере - это не выход, адреса в e-mail можно поставить совершенно произвольные, все равно можно обойти.

Блeклист-то смотрит на IP с которого емаил послан, а не на емаил аддресс, который нарисован. Так что для злостных, типа центра изучения языка блеклист должен сработать. Дальше - сложнее. Скорее всего на самом сервере лучше больше ничего не ставить. Потому что многие спамеры не шлют открытый техт, а шлют MIME в base64, например - на раскодировку и анализ етого письма будут уходить приличные ресурсы. Если представить ето в масштабах сервера - огого получится.

Я думаю именно изза енкодинга на yahoo спам и прорывается - он видать не анализирует завернутый текст - накладно очень для бесплатного сервиса.

[Frank]

>
Чудесно!
А теперь пожалуйста научите как эту штуку поставить на почтовый сервер Яхи
Спасибо...

Кажется, есть какой-то плагин на его основе для народной операционки, но за деньги.

Да mail.yahoo.com - это архаика. Вон, русские бесплатники типа mail.ru впереди планеты всей. Касперский какую-то антиспам приблуду изобрёл, и с mail.ru писали победные реляции о том, что установлено дополнительно n-ное количество мощных серверов специально для неё.

Жесткие правила, к тому же общие для всех на сервере - это не выход, адреса в e-mail можно поставить совершенно произвольные, все равно можно обойти.

Ну дык, надо сидеть и поднастраивать тулзы постоянно, ведь война идёт, кто кого.

SpamAssassin умеет держать настройки для каждого пользователя, к примеру в базе данных. Не нравится пользователю проверки, может вообще нафиг отключить, или к примеру забанит всё из *.com

А блэклистить dsl-линки сейчас полезно. Любой дурак может выставить в Интернет открытый прокси и пойдёт спам с адресов типа vasya@1111.2222.3333.verizon.net

[DenisM]

Так spamassasin тоже ето умеет (байесовских алгоритмов)

Уметь то он умеет, только насколько я знаю, его нельзя обучить ( т.е. сказать, что есть спам, а что нет) именно по письмам, приходящим Вам. Очевидно, что индивидуальная настройка позволит получить лучшие результаты, чем общая для всех пользователей на сервере. В конце концов у каждого свои критерии, что считать спамом. Например, если моя жена получает рассылку о новинках со Spiegel.com, то эти письма для нее - не спам. А вот для меня - spam

И, я думаю, SpamAssassin ничего не знает о русском языке ( в частности его база данных по вероятностям появления тех или иных слов в спаме ). Поэтому если Вам приходят письма, написанных по русски ( по немецки, по украински и т.д. ), он не сможет их правильно выделить из потока рускоязычного же спама.
Упомянутый выше POPFile - может, после некоторой тренировки.

[DenisM]

Блeклист-то смотрит на IP с которого емаил послан, а не на емаил аддресс, который нарисован. Так что для злостных, типа центра изучения языка блеклист должен сработать.

Если бы они ("Центр...") посылали весь спам с одного адреса, проблем бы не было их отфильтровать. Но они не такие наивные и поэтому шлют с разных адресов разных провайдеров

Дальше - сложнее. Скорее всего на самом сервере лучше больше ничего не ставить. Потому что многие спамеры не шлют открытый техт, а шлют MIME в base64, например - на раскодировку и анализ етого письма будут уходить приличные ресурсы. Если представить ето в масштабах сервера - огого получится.

Я думаю именно изза енкодинга на yahoo спам и прорывается - он видать не анализирует завернутый текст - накладно очень для бесплатного сервиса.

POPFile base64 кодировку понимает и применяет Баейсовский алгоритм уже к расшифрованным данным:

Code: Select all

Status: U
Return-Path: <DARABALCER@yahoo.com>
Received: from RONALD ([24.59.12.182])
by albert.mail.atl.earthlink.net (Earthlink Mail Service) with SMTP id 1a9GXx2Ft3Nl3qU0
for <DDD@DDDDDDD.com>; Wed, 15 Oct 2003 04:24:43 -0400 (EDT)
From: "cshrc" <DARABALCER@yahoo.com>
To: XXXXXXXXXXXXXXXXXXXXXXXXXXX
Subject: Cialis
Date: Wed, 15 Oct 2003 4:24:58 -0400
X-Priority: 3 (normal)
Importance: Normal
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)
MIME-Version: 1.0
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: base64
Message-Id: <200310150424.1a9GXx2Ft3Nl3qU0@albert.mail.atl.earthlink.net>

PGh0bWw+DQo8Ym9keT4NCjxkaXYgYWxpZ249ImNlbnRlciI+DQo8YSBocmVmPSJodHRwOi8vd3d3
LmNoZWFwcGlsbHMuYml6L3drcC9pbmRleC5waHA/bWFuPWJiNTZsayIgc3R5bGU9InRleHQtZGVj
b3JhdGlvbjpub25lIj4NCjxmb250IHNpemU9IjUiIGNvbG9yPSIjRkYwMDAwIj5TdXBlciBWaWFn
cmEgSXMgTm93IEF2YWlsYWJsZSBUbyBDb25zdW1lcnMhIDwvZm9udD4NCjxicj4NCktub3duIGFz
IFRoZSBXZWVrZW5kIFBpbGwsIENpYWxpcy9UYWRhbGFma

[ ...skipped... ]

bmV0PC9hPiAoVHJpYWwgVmVyc2lv
biBPbmx5KQ==
Found in encoded data: www.cheappills.biz cheappills.biz size="5" #FF0000 Super Viagra Now Available Consumers Known Weekend Pill Cialis Tadalafil works exactly like Viagra size="4" #800000 ONE DOSE LASTS WEEKEND size="4" #008000 ACTS QUICKER LASTS LONGER Seriously enhance sex life size="3" #000000 safe medically proven Improve penial blood flow Sustained erections Better sexual health Ease arousal Increased sensitivity Stronger ejaculations last weekend #0000FF www.cheappills.biz cheappills.biz WANT GET SOME BEFORE TOO LATE CLICK HERE NOW www.cheappills.biz cheappills.biz size="2" #000000 removed mailing list click here src="http://www.rapidsite.co.jp/cgi-bin/newcount?wkpcb99&width=6&font=digital&noshow" www.adminsystem.net adminsystem.net ANSMTP COMPONENT BUILD www.adminsystem.net adminsystem.net www.adminsystem.net adminsystem.net Trial Version Only 

[A. Fig Lee]

А блэклистить dsl-линки сейчас полезно. Любой дурак может выставить в Интернет открытый прокси и пойдёт спам с адресов типа vasya@1111.2222.3333.verizon.net

Ну и заблеклистят етот прокси. И его щастливый обладатель останется без емейла. Блеклист - ето первый, необходимый уровень.

О его полезности говорит и 3-х дневная ДОС атака спамеров на держателей етого листа.

[A. Fig Lee]

POPFile base64 кодировку понимает и применяет Баейсовский алгоритм уже к расшифрованным данным:

Да понять его несложно, но ресурсы-то жрать будет - каждое письмо раскодировать. Они ж не бездонные на бесплатных серверах.