Frozen Fido : RU.UNIX : Re: Я фигею, дорогая редакция

ru.unix

 
 - RU.UNIX ----------------------------------------------------------------------
 From : Alexander Titaev                     2:5070/66      17 Apr 2003  16:40:00
 To : Andrew Filonov
 Subject : Re: Я фигею, дорогая редакция
 --------------------------------------------------------------------------------

  AF>> Режутся, кроме всего прочего, левые HELO, потом хосты с которых
  AF>> за последние N дня пришло более M попыток гарантированного спама
  AF>> загоняются в отдельный список для тотального режекта. Плюс
  AF>> вручную пополняемые списки особо злостных.  postfactum, зато
  AF>> эффективно при достаточно низком уровне ложных срабатываний.
  MM>>     Поделиться с обществееностью религия позволяет?
 AF>  Сложно. ~100 строк перлового кода без комментариев, сильно заточенные
 AF>  на достаточно специфичный конфиг exim'а и местные условия. А
 AF>  приводить к redistributable виду лееееееень.
 
   я у себя применяю следущее
   еже ли вижу у себя спам, смотрю в хидерах, что это single hop (хотя эти жабы
 частенько подделывают Received:), выдираю envelop from (как правило да @,
 поскольку спамеры частенько лепят к одному юзеру разные домены) и скармливаю
 следующему скрипту
 #!/bin/sh
 log='/var/log/maillog'
 if [ "$2" = "1" ]; then
         log='/var/log/maillog.1'
 fi
 echo $log
 string=`grep $1 $log | grep from= | grep -vE
 '195.46.97.2|195.206.40.175|drweb|size=0|relay
 =(earth.crust.irk.ru|ns.esir.ru|gw.cavs.irk.ru|[-0-9-a-z-A-Z]+.mail.ru|gate.baik
 al.ru|smtp.rol.ru|beta.sibron.ru|vhost.mxlab.com|mail.irnet.ru|mh.irtel.ru|[-0-9
 -a-z-A-Z]+.yandex.ru|hueytecuilhuitl.mtu.ru|[-0-9-a-z-A-Z]+.mx.aol.com|nomer1.ir
 k.ru|rames.irk.ru)' | awk -Frelay= '{ print $2 }' | sort -u `
 echo  "$string"
 echo  "$string" > ~/2bls.txt
 
   еже ли вижу что в 2bls.txt попал явно кто-то не тот (как правило в результате 
 форворда), удаляю его
   далее скармливаю скрипту для занесения в local drbl
   и несколько раз в день гоняю следующее
 grep 'from=' maillog | grep -vE
 'nestle|132.68.147.2|\[195\.206|dsi.ru|icc.ru|drweb|<>|<-|size=0' | grep -E
 'dsl|ppp|ppoe|dhcp|dyn|dial' | awk -F\< '{ print $2 }' | awk -F\> '{ print $1 }'
 | sort -u | tr '\n' '|' | awk '{ print "grep -E \""$_"--------\" maillog" }' |
 sh | grep -vE
 'nestle|132.68.147.2|\[195\.206|drweb|dsi.ru|icc.ru|<>|relay=(baik.ru|gate.baika
 l.ru|smtp.rol.ru|beta.sibron.ru|ns.esir.ru|mh.irtel.ru|vhost.mxlab.com|[-0-9-a-z
 -A-Z]+.yandex.ru|[-0-9-a-z-A-Z]+.mail.ru|hueytecuilhuitl.mtu.ru|[-0-9
 -a-z-A-Z]+.mx.aol.com|mail.ortel.ru|mail.irnet.ru|umail.mtu.ru|rames.irk.ru)' | 
 grep from= | ./precheck.pl | sort -rnk 1 > 2bls
 
   precheck.pl проверяет наличие ip в юзаемых drbl, плюс струтурирует 
   на выходе имеем примерно следующее
 51 asthma1@bigmir.net(51,13093)  CPE-24-26-184-190.mn.rr.com [24.26.184.190]
 17 agxvu@yahoo.com(1,2) syvxa@mail.com(1,1) nmhtd@mail.com(1,2)
 asthma1@bigmir.net(13,13093
 ) vnycl@odmail.com(1,2)  200-158-163-74.dsl.telesp.net.br [200.158.163.74]
 15 asthma1@bigmir.net(15,13093)  [203.52.178.224]
 12 asthma1@bigmir.net(12,13093)  [218.24.174.153]
 11 asthma1@bigmir.net(11,13093)  3eea37e6.cable.wanadoo.nl [62.234.55.230]
 9 mdwmx@odmail.com(1,1) llkor@usa.com(1,2) nxvmo@odmail.com(1,2)
 exkcc@yahoo.com(1,1) rbssb
 @mail.com(1,1) asthma1@bigmir.net(4,13093)  200-153-140-50.dsl.telesp.net.br
 [200.153.140.5
 0]
 7 aycock@ool-18bb2dce.dyn.optonline.net(1,1)
 rubykat@ool-18bb2dce.dyn.optonline.net(1,1) ly
 ndon@ool-18bb2dce.dyn.optonline.net(1,1)
 cstug@ool-18bb2dce.dyn.optonline.net(1,1) lickert@
 ool-18bb2dce.dyn.optonline.net(1,1) nuy_nuy13228bright_eyez85@yahoo.com(1,1)
 mauricio@ool-1
 8bb2dce.dyn.optonline.net(1,1)  ool-18bb2dce.dyn.optonline.net [24.187.45.206]
 4 inksplanet_qsgi@excite.com(1,1) super_inkfactory_eopr@yahoo.de(1,1)
 toner_hub_nvui@hotbot
 .com (1,1) inkscenter_wnij@aol.com (1,1) 
 adsl-67-124-45-26.dsl.pltn13.pacbell.net [67.124.
 45.26]
 4 asthma1@bigmir.net(4,13093)  200-158-62-110.dsl.telesp.net.br [200.158.62.110]
 4 asthma1@bigmir.net(4,13093)  200-148-32-169.dsl.telesp.net.br [200.148.32.169]
 
 где первое число это количество писем с данного релея
 числа в скобках количество писем с таким from c данного релея, количество писем 
 с таким from всего 
 в конце собственно релей
 
 над этим файлом приходится посидеть подольше так как он как правило весьма
 большой, плюс велика вероятность паподания валидных отправлений
 
 -- 
 Sanyo     mailto:tit@irk.ru
 
 --- tin/1.4.6-20020816 ("Aerials") (UNIX) (FreeBSD/4.7-STABLE (i386))
  * Origin: The_Bulls echo gate (2:5070/66)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Re: Я фигею, дорогая редакция	Alexander Titaev	17 Apr 2003 16:40:00
Re: Я фигею, дорогая редакция	Andrew Filonov	17 Apr 2003 12:05:56

Архивное /ru.unix/394184b513cd3.html, оценка 2 из 5, голосов 10