|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Andrew Kant 2:469/83.1 01 Dec 2007 01:39:02
To : Alex Korchmar
Subject : альтернатива SpamAssassin
--------------------------------------------------------------------------------
Friday November 30 2007 00:26, Alex Korchmar wrote to Andrew Kant:
AK>> Так велосипед давно придумали - централизованная база статистики,
AK>> как у
AK> и откуда, по-твоему, берется эта база статистики?
Как откуда - от пользователей. Каждый поставленный ИронПорт - не только
потребитель информации этой базы, но также и датчик. Всё, что через него
проходит он аккуратненько сливает "на родину", тем самым пополняя базу
статистики. Естественно, сливает не сам текст письма, а только ключевые
реквизиты (с какого адреса зашли, какой-то хэш от текста итд).
AK>> АйронПорта. Врядли нормальный человек (не спамер) будет рассылать
AK>> одно и то-же письмо более чем сотне адресатов,
AK> с таким явлением как мэйллисты ты никогда в жизни не встречался?
Hе важно. Если с этого адреса постоянно уходят тысячи писем, то уход с него
очередной тысячи - это нормально. А вот если твой адрес, засвеченный в
статистике, вдруг резко изменил поведение и начал слать письма пачками - то
рейтинг недоверия к нему возрастает. Hу и еще куча других признаков, которые
позволяет выявить _хорошая_ статистика.
AK>> а имея, скажем, пару сотен тысяч "датчиков"
AK>> по всему миру такое отлавливается моментально
AK> отлавливается - как?
А вот так и отлавливается - если поведение наблюдаемых потоков писем резко
меняется - значит что-то не то (вернее именно то - вирусная эпидемия), какие
признаки для спамеров - не знаю, но наверняка тоже есть. А наблюдение ведется
постоянно, время реакции - от минут то десятков минут, надо просто правильно
сынтерпретировать имеющуюся информацию. И чем больше клиентов пользуется базой,
тем точнее в ней информация, потому что каждый запрос автоматом является и
признаком пополнить статистику.
AK>> АйронПорт за неё денег просит, а пока эта база не достигнет
AK>> определенного размера толку от нее будет мало. Так что нужен
AK>> энтузазист который создаст сервер, создаст клиентов, которые будут
AK>> её пополнять, и если он сможет её
AK> и потом продаст свою базу кому-нибудь. Причем в этой базе будет вовсе не
AK> список спаммеров, а совсем-совсем другая информация.
Абсолютно верно. Информация не о том, кто спамер, а о том кто кому как часто
шлет. Правильно распорядись этой информацией - и ты сможешь отсеять
нежелательное по информации о том, кому обычно шлет отправитель только что
полученного письма. Ты получаешь "репутацию" данного письма от центральной
базы, а дальше можешь его либо сразу убить, либо еще через кучу фильтров как
спамассассин прогнать чтоб решить дальнейшую судьбу. Hа сколько я помню,
репутационный фильтр отсеивает до 95% всего, причем даже если это что-то -
абсолютно новый вирус. Всплеск активности тут-же его выдает.
AK> По этой очевидной причине системы которые на самом деле ТАК
AK> работают - из доступных это спамоборона-лайт - особой
AK> популярностью не пользуются.
Я говорю про ИронПорт. А это ЛИДЕР в данной области.
AK> Те что использутся промышленно, вовсе не сообщают изготовителю (а
AK> значит потенциально - любому желающему который сумел его купить
AK> или похакать, причем купить, естественно, можно не всего, а одного
AK> админа-недоучку или вовсе сотрудника техподдержки, отвечающего за
AK> ленты с бэкапами) кто и что тебе писал сегодня (тем более что из
AK> dmz это им и не удастся).
"Вовсе" это "никогда" ? Если да - ты не прав. Тот-же ИронПорт по КАЖДОМУ письму
лезет в ЦБ за репутацией - это уже отправка. Ты можешь отключить эту функцию -
и при этом практически похерить весь его смак, но тогда какой вообще смысл его
покупать? По поводу передачи содержимого письма я написал выше - естественно,
что в базу сливается не текст, иначе давно бы засудили их за воровство
коммерческой информации. Поэтому ленты с бэкапами особой ценности не
представляют (для хакеров). Hу и актуальность их очень быстро падает.
AK>> протолкнуть достаточному кол-ву народа - то остальные им
AK>> заинтересуются. Hо такое (правда платное) может позволить себе
AK>> замутить разве что микрософт.
AK> такое бесплатное есть от яндекса в виде so-lite. Hо я не готов поставить
AK> ЭТО на свой сервер.
Я не знаю, про какое от яндекса ты говоришь, я говорю не о нем.
Good bye!
Andrew
--- GoldED+/W32 1.1.4.7
* Origin: * KAA * (2:469/83.1)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
