Another method to block spammers..(for Roberto) |
Post Reply 
|
| Author | |
rogi2 
Newbie 
Joined: 22 March 2008 Status: Offline Points: 5 |
 Post Options
 Thanks(0)
 Quote Reply
 Topic: Another method to block spammers..(for Roberto)Posted: 22 March 2008 at 12:25pm |
 |
|
|
mbrusl
Groupie 
Joined: 05 December 2005 Location: Thunder Bay Ont Status: Offline Points: 61 |
Post Options
Thanks(0)
Quote Reply
Posted: 25 March 2008 at 6:05am |
|
Wow!!! I like this idea. Know what this means....if its implemented, systems that don't use the FQDN in the HELO along with the machine name and reverse IP? I don't think spammer would have a prayer. Legitimately that is.
Michael |
|
|
Michael
support@spacequad.com If blocked, use spacequad@hotmail.com Spacequad Internet Services Spacequad AntiSpam Services Thunder Bay, Ontario -------------------------------------------------- |
|
|
|
|
LogSat
Admin Group 
Joined: 25 January 2005 Location: United States Status: Offline Points: 4104 |
Post Options
Thanks(0)
Quote Reply
Posted: 26 March 2008 at 1:13pm |
|
Igor,
SpamFilter logs the "HELO" domain that was used in the SMTP connection in the X header: X-SF-HELO-Domain we've done a very quick analysis of some email samples, and so far have not noticed cases where the scenario described in the article would apply. The sampling of email was not thorough at all however, so if anyone can provide further statistics that would show this request would help, we'll surely take it into consideration. |
|
|
|
|
rogi2
Newbie
Joined: 22 March 2008 Status: Offline Points: 5 |
Post Options
Thanks(0)
Quote Reply
Posted: 26 March 2008 at 4:00pm |
|
now i receive in farm 8M e-mail at day (97% spam)...
and spamfilter work well only in SOLID DISK (
 ), in SAS or SCSI in 5 minutes ...hangIs very very util if the message not pass over missing Helo command or DNS Reverse Failure (and MX), or From <>.
If i active "Tag Spam in Subject & Deliver" the message pass and in X-RejectReasons appair for example: "3 - 557 Your IP X.X.X.X does not have a reverse DNS entry. Disconnecting..."
"Disconnecting..."? When? The message pass with tag-:) lol
Can you block really that connection?
Italian
---------------------------
Scusa, provo in italiano magari mi spiego meglio, in inglese sono un pochino una sola...
Molto semplicemente, come certamente sai, non si possono eliminare in alcun modo le mail di spam, e' illegale, ma achiviarle per una futura consultazione si (anche se non tutti i clienti lo capiscono..
 )Se non attivi la voce "Tag Spam in Subject & Deliver" le mail effettivamente non vengono accettate, ed il server remoto viene disconnesso... ma...perchè saltare questa regola quando lo si attiva attraverso il "Do not Quarantine"? Facciamo passare una mail in piu' che tanto sarebbe marcata spam, no?
Magari sarebbe piu' semplice, aggiungere una voce del tipo, "forza le regole contrassegnate anche se vuoi marcare lo spam" o qualcosa del genere...
in questo modo, realtà come le nostre, avrebbero sicuramente meno traffico e meno mail marcate SPAM, quindi quasi completamente inutili, da fargli scaricare.
L' archiviazione per la nostra realtà ad oggi è quasi impossibile, il db arriva a 16GB al giorno e lo spamfilter stesso, nonostante giri su solid disk, dopo le prime 2 ore crasha, se usiamo DB.
Magari sbaglio, per carita', pero' sarebbe una buona cosa secondo me', e' gia' un ottimo software.
Un saluto Igor Edited by rogi2 - 26 March 2008 at 4:03pm |
|
|
|
|
LogSat
Admin Group
Joined: 25 January 2005 Location: United States Status: Offline Points: 4104 |
Post Options
Thanks(0)
Quote Reply
Posted: 27 March 2008 at 10:40pm |
|
Igor,
Non sapevamo che in Italia era illegale cancellare lo spam. Sono "scappato" via in America 10 anni fa' proprio perche' volevo andari avanti nella vita e non indietro... Se viene attivata l'opzione "tag and deliver", questa forza SpamFilter ad accettare *tutte* le emails che arrivano. "Accettare" vuol dire confermare con un codice SMTP 250 al server remote che l'email e' stata rcevuta e che verra' recapitata al destinatario. Ance se vengono accettate, le emails classificate come spam vengono iniettate con degli header che permettono al software a valle di agire come desidera l'amministratore su questo spam. Legalmente (almeno "legalmente" per persone che ne capiscono qualcosa, al contrario di chi indossa toghe e di chi governa nella mia ex-patria - scusa lo sfogo) e' da notare che, se *non* si abilita l'opzione "tag and deliver", allora SpamFilter **non accetta** le emails spam. Al contrario, SpamFilter risponde con un codice SMTP 5xx al mittente. Per RFC2821 (la bibbia per quanto riguarda le comunicazioni emails) quando un server emette un codice 5xx in risposta ad un tentativo di spedire un'email, questo indicate al mittente che l'email *non e' stata ricevuta*. Questo e' ben diverso da averla cancellata. L'email non e' stata proprio ricevuta, quindi non c'e' nulla da cancellare.... "Ricevere" un'email vuol dire rispondere con un codice SMTP 250 al mittente. Qualunque altro codice di risponda indica che l'email non e' stata ricevuta. Ora, se l'amministratore desidera, puo' conservare il contenuto del tentativo di messaggio non ricevuto in un database, ma ripeto, queste sono emails che non sono state mai ricevute, ed inoltre, mlto importante, il mittente e' stato gia' informato che non sono state recapitate tramite un email NDR mandatagli dal suo provider. Tutto questo segua le regole della RFC 2821, che per fortuna non e' stata scritta in Italia. Ma capisco il "mo' vallo a spiegare a quell'essere mummificato dietro il tavolo del giudice".... In riguardo ai crash, se ci zippi e spedisci il log di SpamFilter per un giorno quando e' crashato, cerchiamo di vedere cosa e' successo, perche' anche se ricevi 1-2-3 milioni di emails al giorno, SpamFilter non dovrebe crashare. Se il file e' piu' grande di 5MB, contattaci via email a support@logsat.com cosi' possiamo mandarti le info per passarci il file via ftp. |
|
|
|
|
rogi2
Newbie
Joined: 22 March 2008 Status: Offline Points: 5 |
Post Options
Thanks(0)
Quote Reply
Posted: 28 March 2008 at 12:15pm |
|
Sfogo + che lecito...
 ...stendiamo un velo pietoso, ti invidio..no comment.
Ho notato che lo SpamFilter si inkioda quando raggiunge circa 300/400 connessioni contemporanee; và semplicemente in freezing e nei log ho già cercato piu' volte ma non dice nulla; oltretutto sono costretto a bloccare il servizio dalla console services e la GreyList, il piu' delle volte si azzera automaticamente...
Ho letto qualcosa un po' di tempo fà su di un sito russo ( ci sono finito per caso) relativamente a Delphi e gli array dei socket che davano un problema di timeout dopo un tot di connessioni con stringhe di un certo tipo, accumulandole, e quindi non piu' gestendole mantenendole in una specie di "limbo eterno" fino al crash...ma...siccome non sono un programmatore Borland... non ero sceso nei dettagli e non l' ho preso in considerazione, se trovo il link te lo giro; magari dico una kazzata e non ti serve...per carità...
La situazione attuale e' la seguente:
fino a quando il traffico si mantiene sulle 100/<=200 CONNESSIONI contemporanee non ci sono problemi, posso usare la Grey, la limbo etc.. il processo si mantiene al 40% di CPU e la ram a circa 1,2 GB.
Ma se vengono superate, gli hang sono piu' frequenti, quindi devo disabilitare la limbo.
Sono riuscito parzialmente a risolvere il problema tramite un' alchimia:
1. Ho sviluppato un software che passa a scansione server web che mandano news letter e /o sono server smtp o semplici server web che mandano mail dai siti (tipo google,hotmail,yahoo etc...), controllando la presenza delle relative RND, il tutto risottoposto a controllo ogni 7 giorni.
2. Stoppo il servizio regolarmente da comando, in maniera tale che lo spamfilter chiuda i socket attivi ed aggiorni i suoi parametri; una volta sparito il suo PID procedo con le modifiche per la greylist (della quale ho lasciato invariati i parametri da voi inseriti nel file ini) e lo riavvio; ci mette circa 1 minuto ad attivarsi, poichè il file di testo è enorme ovviamente, ma gli hang si sono ridotti moltissimo, quasi annulati.
E' certo che se tutto questo lo facesse lo spamfilter sarebbe una bomba!
PS: il log ve lo manderei, ma haimè di media è 4GB...sicuri?
--------------------------------------------------------------------------------
Un saluto, il sistemista paranoico...lol
 --------------------------------------------------------------------------------
|
|
|
|
|
jerbo128
Senior Member 
Joined: 06 March 2006 Status: Offline Points: 178 |
Post Options
Thanks(0)
Quote Reply
Posted: 28 March 2008 at 12:29pm |
|
I don't know about everyone else who can't speak Italian, but I think I missed something in the last 2 posts....... To me, it sounds like: "Roberto has a copy of Spamfilter Super Enterprise 2008 Vista Datacenter Longhorn Server?? "
Sorry, couldn't resist.....
|
|
|
|
|
rogi2
Newbie
Joined: 22 March 2008 Status: Offline Points: 5 |
Post Options
Thanks(0)
Quote Reply
Posted: 28 March 2008 at 12:40pm |
|
ops.. sorry for italian.. Now i speak only in english in forum.
|
|
|
|
|
jerbo128
Senior Member
Joined: 06 March 2006 Status: Offline Points: 178 |
Post Options
Thanks(0)
Quote Reply
Posted: 28 March 2008 at 12:47pm |
|
no problem here
Just a bad attempt to be funny.
 I figure if it is something everyone needs to know, Roberto will translate to everyone else.
Jeremy
|
|
|
|
|
LogSat
Admin Group
Joined: 25 January 2005 Location: United States Status: Offline Points: 4104 |
Post Options
Thanks(0)
Quote Reply
Posted: 28 March 2008 at 5:42pm |
|
Ok, I'll go in english too, and it's better I don't translate what I was saying in italian as they were not technical comments but rather venting about why I left italy :-)
Going back to the tech stuff, Igor, SpamFilter should be able to handle a several thousand concurrent connections if the hardware has enough CPU, there should not be any issues with the sockets (at least none we're aware of). There may be other issues however, which is why we'd like to take a look at the logs. 4GB logs should compress to a few hundreds megs or less, so that won't be a problem. I'll PM you the ftp information. if you're talking about 4GB already compressed, then, as a side-note, you may want to enable to option in the SpamFilter.ini file that splits the logs on user-defined intervals (if you haven't done so already), so as to improve performance. If they are already split, just zip them individually and upload them over! |
|
|
|
|
rogi2
Newbie
Joined: 22 March 2008 Status: Offline Points: 5 |
Post Options
Thanks(0)
Quote Reply
Posted: 07 April 2008 at 7:41am |
|
ok, i send you when i have little time..lol
Another idea for add in in Greylist...
If sender ip is added in grelystallowed, and it is a spam source at 100% (maps, keywords etc..) can you remove it automatically and immediatelly? hihihi
 Good idea?
Bye
|
|
|
|
Topic Options
|
Post Reply
|
|
Tweet
|
| Forum Jump | Forum Permissions You cannot post new topics in this forum You cannot reply to topics in this forum You cannot delete your posts in this forum You cannot edit your posts in this forum You cannot create polls in this forum You cannot vote in polls in this forum |
This page was generated in 0.250 seconds.