Hello! Если у кого последняя неделя в плане приходящей почты была спокойная - то Вам повезло. Нам же в КПИ - не очень. Win32.Gibe идет ужасными рядами. И вот хотелось бы спросить , что есть из вариантов, кроме как принять это письмо , чекнуть и зарубить дрвебом? А то просто сервера из-за количества смтп сессий уже не откликаются на telnet ... 25. Увеличивать количество смтп сессий не предлагать - итак уже на пределе тазиков. Как можно их срубывать что бы они даже и не пытались идти повторно, или вообще что-то сделать с этим ? Может все вместе :) ps за эту недельку более 5 Гб в /infected у дрвеба пришлось вычистить и это уже не смешно. Причем сейчас - это 99% входящая зараза. pps просьба ко всем не писать никому на *.@*.ntu-kpi.kiev.ua - оперативно не дойдет. И пользоватся альтернативным мылом. -- Edward Melnik =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello, Edward Melnik!
Если у кого последняя неделя в плане приходящей почты была спокойная - то Вам повезло. Нам же в КПИ - не очень.
Win32.Gibe идет ужасными рядами. И вот хотелось бы спросить , что есть из вариантов, кроме как принять это письмо , чекнуть и зарубить дрвебом?
А то просто сервера из-за количества смтп сессий уже не откликаются на telnet ... 25. Увеличивать количество смтп сессий не предлагать - итак уже на пределе тазиков.
Как можно их срубывать что бы они даже и не пытались идти повторно, или вообще что-то сделать с этим ? Может все вместе :)
ps за эту недельку более 5 Гб в /infected у дрвеба пришлось вычистить и это уже не смешно. Причем сейчас - это 99% входящая зараза.
pps просьба ко всем не писать никому на *.@*.ntu-kpi.kiev.ua - оперативно не дойдет. И пользоватся альтернативным мылом.
Если postfix, то можно построить body_checks, что достаточно просто. |^TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA|i REJECT Win32.Gibe worm! на гугле есть более подробный трид в mailing.postfix.users. Еще можно воспользоваться header_checks, но там есть варианты ... -- Laa =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 09:32:37AM +0300, Oleksandr Listopad wrote:
Если postfix, то можно построить body_checks, что достаточно просто.
|^TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA|i REJECT Win32.Gibe worm!
на гугле есть более подробный трид в mailing.postfix.users.
Еще можно воспользоваться header_checks, но там есть варианты ...
Спасибо. Но как-то может глобально всех лечить ? :) А то смтп сессия всеравно открывается, уже даже если письмо не будет принято. Хоть и на короткое время. -- Edward Melnik =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello Edward, Thursday, September 25, 2003, 9:38:40 AM, you wrote:
Еще можно воспользоваться header_checks, но там есть варианты ...
EM> Спасибо. Но как-то может глобально всех лечить ? :) EM> А то смтп сессия всеравно открывается, уже даже если письмо не будет принято. кхм... не открывая smtp сессию... ну разве что вааще убить шлимыло %-( EM> Хоть и на короткое время. -- Cheers, Konstantin Nikonenko http://www.kot.dp.ua/ Spetztekhosnastka JSC http://www.d-sto.com/ =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 09:43:31AM +0300, Konstantin Nikonenko wrote:
Hello Edward,
Thursday, September 25, 2003, 9:38:40 AM, you wrote:
Еще можно воспользоваться header_checks, но там есть варианты ...
EM> Спасибо. Но как-то может глобально всех лечить ? :) EM> А то смтп сессия всеравно открывается, уже даже если письмо не будет принято. кхм... не открывая smtp сессию... ну разве что вааще убить шлимыло %-( Я понимаю, что это равнозначно postfix stop, но может все же есть варианты ?
может есть какой нить rbl на гадов вирусных ? %) А то bl.spamcop.net вообще не резолвится. -- Edward Melnik =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello Edward, Thursday, September 25, 2003, 9:52:00 AM, you wrote:
EM> Спасибо. Но как-то может глобально всех лечить ? :) EM> А то смтп сессия всеравно открывается, уже даже если письмо не будет принято. кхм... не открывая smtp сессию... ну разве что вааще убить шлимыло %-( EM> Я понимаю, что это равнозначно postfix stop, но может все же есть варианты ? тебе уже написали.
EM> может есть какой нить rbl на гадов вирусных ? %) увы... нету. EM> А то bl.spamcop.net вообще не резолвится. -- Cheers, Konstantin Nikonenko http://www.kot.dp.ua/ Spetztekhosnastka JSC http://www.d-sto.com/ =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 09:52:00AM +0300, Edward Melnik wrote:
On Thu, Sep 25, 2003 at 09:43:31AM +0300, Konstantin Nikonenko wrote:
Hello Edward,
Thursday, September 25, 2003, 9:38:40 AM, you wrote:
Еще можно воспользоваться header_checks, но там есть варианты ...
EM> Спасибо. Но как-то может глобально всех лечить ? :) EM> А то смтп сессия всеравно открывается, уже даже если письмо не будет принято. Поставить "легковесный" smtp-proxy перед вашим MTA, особенно если такое из мира сыпется (на кой писать "220 my.cool.server. ready ESMTP дата", если можно просто "220 X ESMTP" - разница в трафике в разы, подождать HELO с той стороны и только после такого лезть к своему SMTP. Попутно ждать DATA и вставить received from ... в заголовки). А поставив такое чудо в далёкой буржуиндии и загнав smtp в какую-нить сжималку типа ssh -C - можно вполне сэкономить вагон трафика и денег.
кхм... не открывая smtp сессию... ну разве что вааще убить шлимыло %-( Я понимаю, что это равнозначно postfix stop, но может все же есть варианты ? В сети КПИ - масса просто.
может есть какой нить rbl на гадов вирусных ? %) Не пойму - жалобы на вирусы из мира в КПИ? или внутри сети?
А то bl.spamcop.net вообще не резолвится. А он тут каким боком? Туда спам ваще-то положено репортить, а не вирусы.
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 10:20:03AM +0300, Paul Arakelyan wrote:
On Thu, Sep 25, 2003 at 09:52:00AM +0300, Edward Melnik wrote:
On Thu, Sep 25, 2003 at 09:43:31AM +0300, Konstantin Nikonenko wrote:
Hello Edward,
Thursday, September 25, 2003, 9:38:40 AM, you wrote:
Еще можно воспользоваться header_checks, но там есть варианты ...
EM> Спасибо. Но как-то может глобально всех лечить ? :) EM> А то смтп сессия всеравно открывается, уже даже если письмо не будет принято. Поставить "легковесный" smtp-proxy перед вашим MTA, особенно если такое из мира сыпется (на кой писать "220 my.cool.server. ready ESMTP дата", если можно просто "220 X ESMTP" - разница в трафике в разы, подождать HELO с той стороны и только после такого лезть к своему SMTP. Попутно ждать DATA и вставить received from ... в заголовки). А поставив такое чудо в далёкой буржуиндии и загнав smtp в какую-нить сжималку типа ssh -C - можно вполне сэкономить вагон трафика и денег.
Ничего не понял. А это тут причем? НЕЛО можно заставить ждать и postfix, что и сделано. Может объясних концепцию ?
кхм... не открывая smtp сессию... ну разве что вааще убить шлимыло %-( Я понимаю, что это равнозначно postfix stop, но может все же есть варианты ? В сети КПИ - масса просто.
И какие?
может есть какой нить rbl на гадов вирусных ? %) Не пойму - жалобы на вирусы из мира в КПИ? или внутри сети?
Извне естественно.
А то bl.spamcop.net вообще не резолвится. А он тут каким боком? Туда спам ваще-то положено репортить, а не вирусы. ТАким таким. Он сюда и не одним боком.
-- Edward Melnik =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello, Edward Melnik!
А то bl.spamcop.net вообще не резолвится. А он тут каким боком? Туда спам ваще-то положено репортить, а не вирусы. ТАким таким. Он сюда и не одним боком.
Ну это уже ты погорячился.. :-) Если хочешь ТАКОГО -- подними свой rbl! :-) -- Laa =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello, Edward Melnik!
А то bl.spamcop.net вообще не резолвится. А он тут каким боком? Туда спам ваще-то положено репортить, а не вирусы. ТАким таким. Он сюда и не одним боком.
Ну это уже ты погорячился.. :-) Если хочешь ТАКОГО -- подними свой rbl! :-)
BTW, а какой софт можно порекомендовать для построение своего rbl. Я имею в виду не rbldnsd, а нечто позволяющее вносить в создаваемую базу информацию и сохранять при этом оригиналы писем на основании которых запись была внесена в RBL. Что бы всегда можно было поднять информацию и определить причину попадания хоста/сети в RBL. -- YY18-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Yury Yaroshevsky wrote:
Hello, Edward Melnik!
А то bl.spamcop.net вообще не резолвится. А он тут каким боком? Туда спам ваще-то положено репортить, а не вирусы. ТАким таким. Он сюда и не одним боком.
Ну это уже ты погорячился.. :-) Если хочешь ТАКОГО -- подними свой rbl! :-)
BTW, а какой софт можно порекомендовать для построение своего rbl. Я имею в виду не rbldnsd, а нечто позволяющее
А никто и не заставляет в rbldnsd хранить неспецифичную для него информацию. У нас есть таблица в sql где содежатся детали, а параллельно с ней строится файл зоны для rbldnsd. Плюс веб-интерфейс, с которого можно сделать remove себя ну и параллельно имеющий защиту от подбора адресов.
вносить в создаваемую базу информацию и сохранять при этом оригиналы писем на основании которых запись была внесена в RBL. Что бы всегда можно было поднять информацию и определить причину попадания хоста/сети в RBL.
-- UKR.NET Postmaster =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 11:53:37AM +0300, Yury Yaroshevsky wrote:
BTW, а какой софт можно порекомендовать для построение своего rbl. Я имею в виду не rbldnsd, а нечто позволяющее вносить в создаваемую базу информацию и сохранять при этом оригиналы писем на основании которых запись была внесена в RBL. Что бы всегда можно было поднять информацию и определить причину попадания хоста/сети в RBL.
С такими вопросами - к держателям spews и spamhaus.org :|. Но сдаётся мне - решения там "собственного производства". В spews, похоже, был просто поиск по текстовым файлам+dns database, то есть IP->номер в bl->ссылка на документ->сам документ ака "history file". В spamhaus - по идее аналогично, при этом иногда несколько ссылок на один IP, и соответственно несколько страниц (пример - спам хостинг и к нему прибегает торговец вигрой, который уже "засветился" и побегал хорошо - вывалится 2 ссылки - "рассказ про торговца" и "рассказ про хостинг"). -- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 10:26:46AM +0300, Edward Melnik wrote:
On Thu, Sep 25, 2003 at 10:20:03AM +0300, Paul Arakelyan wrote:
EM> А то смтп сессия всеравно открывается, уже даже если письмо не будет принято. Поставить "легковесный" smtp-proxy перед вашим MTA, особенно если такое из мира сыпется (на кой писать "220 my.cool.server. ready ESMTP дата", если можно просто "220 X ESMTP" - разница в трафике в разы, подождать HELO с той стороны и только после такого лезть к своему SMTP. Попутно ждать DATA и вставить received from ... в заголовки). А поставив такое чудо в далёкой буржуиндии и загнав smtp в какую-нить сжималку типа ssh -C - можно вполне сэкономить вагон трафика и денег.
Ничего не понял. А это тут причем? НЕЛО можно заставить ждать и postfix, что и сделано. Может объясних концепцию ?
В концепции 3 части: tcp-proxy с минимальной функциональностью намного легче postfix/sendmail в плане fork() и сжираемых ресурсов, при желании туда же встраивается работа с dns-based rbl. Экономия на этапе "сказать 220 здрасьте/поодождать HELO/EHLO" - трафика исходящего поменьшает весьма + лишний раз postfix не будет дёргаться. Ну и если предположить, что трафика вагон бесполезного и ~1% полезного - то может стоит вынести smtp к "кому-то ещё", типа апстрима или просто "доброму дяде", попутно можно ещё сжатие развести.
кхм... не открывая smtp сессию... ну разве что вааще убить шлимыло %-( Я понимаю, что это равнозначно postfix stop, но может все же есть варианты ? В сети КПИ - масса просто.
И какие? reject для executable content, с *.doc попутно - ессно, юзверей стоит об этом уведомить ;). В сообщении об ошибке наверно стоит дать URL, где подробно на эдак 4-5+ языках написать, в чём проблема и что делать.
может есть какой нить rbl на гадов вирусных ? %) Не пойму - жалобы на вирусы из мира в КПИ? или внутри сети?
Извне естественно. "Что, ТАК плохо?" - это ж какие в КПИ каналы вдруг появились и каким адресным пространством оно смотрит в мир, что серверу так плохо? И в чём состоит проблема (в основном) - в сожраном канале или в высокой загрузке SMTP сервера? Ну и на тему "rbl извне" - закрыть почту с dialup/dsl pools.
А то bl.spamcop.net вообще не резолвится. А он тут каким боком? Туда спам ваще-то положено репортить, а не вирусы. ТАким таким. Он сюда и не одним боком. Тогда, если б я не учился и не работал в КПИ и не знал идиотизмов системы финансирования, я бы предложил просто вынести сервис incoming SMTP куда-то в сторону http://rackshack.net/, если против linux убеждений нету ;). $130/месяц за вполне приличный тазик(или $99 за неприличный ;) ) и 700GB трансфера, 100MBit internet connection (судя по всему, можно и на 10 переключить. Кстати, как в linux redhat поглядеть, что карточка думает о media type "в данный момент"? ifconfig такого не пишет :(), питание ни разу не пропадало за год общения, каналы толстые и много их...
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi, Paul! On Thu, Sep 25, 2003 at 10:20:03AM +0300, Paul Arakelyan wrote: [Skipped by Sergey Babitch]
Поставить "легковесный" smtp-proxy перед вашим MTA, особенно если такое из мира сыпется (на кой писать "220 my.cool.server. ready ESMTP дата", если можно просто "220 X ESMTP" - разница в трафике в разы, подождать HELO с той стороны и только после такого лезть к своему SMTP. Попутно ждать DATA и вставить received from ... в заголовки). А поставив такое чудо в далёкой буржуиндии и загнав smtp в какую-нить сжималку типа ssh -C - можно вполне сэкономить вагон трафика и денег.
Если уж ставить тазик в буржуинии, тогда уж лучше на нем присетапить полноценный MTA, и от туда гнать сюда по uucp с компрессией. -- Good Luck! Sergey Babitch (SB551-RIPE) FreeLance Artist =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Sergey Babitch wrote:
Поставить "легковесный" smtp-proxy перед вашим MTA, особенно если такое из мира сыпется (на кой писать "220 my.cool.server. ready ESMTP дата", если можно просто "220 X ESMTP" - разница в трафике в разы, подождать HELO с той стороны и только после такого лезть к своему SMTP. Попутно ждать DATA и вставить received from ... в заголовки). А поставив такое чудо в далёкой буржуиндии и загнав smtp в какую-нить сжималку типа ssh -C - можно вполне сэкономить вагон трафика и денег.
Если уж ставить тазик в буржуинии, тогда уж лучше на нем присетапить полноценный MTA, и от туда гнать сюда по uucp с компрессией.
А репликацию пользователей святой дух делать будет ? -- UKR.NET Postmaster =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 12:03:37PM +0300, vladimir.sharun@ukr.net wrote:
Sergey Babitch wrote:
сжималку типа ssh -C - можно вполне сэкономить вагон трафика и денег.
Если уж ставить тазик в буржуинии, тогда уж лучше на нем присетапить полноценный MTA, и от туда гнать сюда по uucp с компрессией. Лучше, но времени на setup надо больше:). +моё решение имело устойчивость к случаю недоступности backend - т.е. послать 4xx на HELO, работало так: принять коннект, написать 220 something.com ESMTP, подождать/принять HELO/EHLO/или чего скажут, присоединиться к backend smtp или послать 4xx если его не видно (решение строилось на месте, где "земля горит под ногами" - то есть в любой момент оттуда до следующего никогда никакой ip-пакет мог не прилететь - а почта должна была доходить нормально и в ~100% случаев), послать "чего сказали в HELO/EHLO/...", передать ответ, передавать данные, пока не появится волшебное слово "DATA", выставить флажок "DATA", сформировать и передать в backend строку "Received from", передавать сообщение, ждать строки с ".", выключить флажок "DATA". То есть "конструктивно предусматривалась возможность что-то пофильтровать.
А репликацию пользователей святой дух делать будет ? Применительно к вопросу с КПИ - это либо не обязательно (почта на сервера кафедр ездит вся и уже они разбираются сами), либо реализуемо "точно так же".
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Paul Arakelyan wrote:
On Thu, Sep 25, 2003 at 12:03:37PM +0300, vladimir.sharun@ukr.net wrote:
Sergey Babitch wrote:
сжималку типа ssh -C - можно вполне сэкономить вагон трафика и денег.
Если уж ставить тазик в буржуинии, тогда уж лучше на нем присетапить полноценный MTA, и от туда гнать сюда по uucp с компрессией. Лучше, но времени на setup надо больше:). +моё решение имело устойчивость к случаю недоступности backend - т.е. послать 4xx на HELO, работало так: принять коннект, написать 220 something.com ESMTP, подождать/принять HELO/EHLO/или чего скажут, присоединиться к backend smtp или послать 4xx если его не видно (решение строилось на месте, где "земля горит под ногами" - то есть в любой момент оттуда до следующего никогда никакой ip-пакет мог не прилететь - а почта должна была доходить нормально и в ~100% случаев), послать "чего сказали в HELO/EHLO/...", передать ответ, передавать данные, пока не появится волшебное слово "DATA", выставить флажок "DATA", сформировать и передать в backend строку "Received from", передавать сообщение, ждать строки с ".", выключить флажок "DATA". То есть "конструктивно предусматривалась возможность что-то пофильтровать.
Ты забываешь о самом большом участке в этапе SMTP: то, что идёт в DATA. Например на этапе HELO бэкэнд живой, вливают 3 метра с дайлапного линка (14минут) за это время связь с бэкэндом накрывается. Что делать с мессагой ? Правильно - положить в спул. Еще 5-10 вариантов сложностей и перед нами вырастет необходимость вешать таки полноценный MTA. Кстати не такой уж там и жирный линк нужен: я уверен что на свои MX'ы могу принять всю входящую на КПИ почту и даже не замечу ее. Confused ?
А репликацию пользователей святой дух делать будет ? Применительно к вопросу с КПИ - это либо не обязательно (почта на сервера кафедр ездит вся и уже они разбираются сами), либо реализуемо "точно так же".
Кхм, не думал, что всё так запущено. -- UKR.NET Postmaster =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 13:17:35 (+0300), vladimir.sharun@ukr.net wrote:
таки полноценный MTA. Кстати не такой уж там и жирный линк нужен: я уверен что на свои MX'ы могу принять всю входящую на КПИ почту и даже не замечу ее. Confused ?
А у вас вообще много почты из "мира" валит? У вас же еще и фримэйл есть... В IPT немного увеличилось только за последнюю неделю (из-за этого Gibe наверно). http://loopback.com.ua/smtp.png При этом с "украины" осталось так же. И out тоже не увеличился.
-- UKR.NET Postmaster =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- wbr, kden =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Denis P. Khripun wrote:
On Thu, Sep 25, 2003 at 13:17:35 (+0300), vladimir.sharun@ukr.net wrote:
таки полноценный MTA. Кстати не такой уж там и жирный линк нужен: я уверен что на свои MX'ы могу принять всю входящую на КПИ почту и даже не замечу ее. Confused ?
А у вас вообще много почты из "мира" валит?
Принимается почти без изменений, за вчера 308912. А отбито: Вирусов: 41048 (тут траффик да, таки ударил наверное) Кривых хэло: 31559+14395 dynablocknet.rbl: 194420 blackholes.rbl: 330219 Нашим "тормозятором": 158429 Блэклистами: 12700 ------- Итого 752,770 реджектов
У вас же еще и фримэйл есть...
Ну так вот я про него и говорю. -- UKR.NET Postmaster =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Thu, Sep 25, 2003 at 11:59:20AM +0300, Sergey Babitch writes:
Поставить "легковесный" smtp-proxy перед вашим MTA, особенно если такое из мира сыпется (на кой писать "220 my.cool.server. ready ESMTP дата", если можно просто "220 X ESMTP" - разница в трафике в разы, подождать HELO с той стороны и только после такого лезть к своему SMTP. Попутно ждать DATA и вставить received from ... в заголовки). А поставив такое чудо в далёкой буржуиндии и загнав smtp в какую-нить сжималку типа ssh -C - можно вполне сэкономить вагон трафика и денег.
Если уж ставить тазик в буржуинии, тогда уж лучше на нем присетапить полноценный MTA, и от туда гнать сюда по uucp с компрессией.
По uucp прийдется принимать почту для отсутствующих юзеров. В общем, если в буржуиндии поставить антивирус, оставшееся можно и по SMTP принимать. P.S. За последние два дня у меня 35G почты принято из мира в /dev/null. :( Причем, насколько я понимаю, если увеличить мощность каналов и машин в четыре раза, было бы принято в четыре раза больше почты. И это при том, что если в MAIL заявлен размер более 48K, письмо сразу реджектится. Просто катастрофа. :( -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 12:38:00PM +0300, Pavel Gulchouck wrote:
Hi! P.S. За последние два дня у меня 35G почты принято из мира в /dev/null. :( Причем, насколько я понимаю, если увеличить мощность каналов и машин в четыре раза, было бы принято в четыре раза больше почты. И это при том, что если в MAIL заявлен размер более 48K, письмо сразу То бишь, если с вами сразу на esmtp заговорят. Не, эт вы от вирусов многого хотите ;). реджектится. Просто катастрофа. :( Надо на это смотреть с другой стороны - как на повод увеличить в четыре раза (что даже круче, чем на три дюйма ;)))). Вобщем - всё это фигня :), а вот погода испортилась :(.
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Thu, Sep 25, 2003 at 01:11:54PM +0300, Paul Arakelyan writes:
P.S. За последние два дня у меня 35G почты принято из мира в /dev/null. :( Причем, насколько я понимаю, если увеличить мощность каналов и машин в четыре раза, было бы принято в четыре раза больше почты. И это при том, что если в MAIL заявлен размер более 48K, письмо сразу
То бишь, если с вами сразу на esmtp заговорят. Не, эт вы от вирусов многого хотите ;).
Вирус рассылает себя не по MX-ам, а через свой SMTP-сервер. По размеру очень много отбраковывается. Сейчас сделал, чтобы на fidonet.org почта отвергалась, если в MAIL FROM не указан SIZE. Это чтобы совсем гейт не закрывать. Вежливые люди с нормальными MTA по ESMTP общаются и о размере предупреждают. Теперь я гораздо больше reject-ов в секунду делаю. :) Правда, по-прежнему ровно столько, сколько позволяет загрузка машины. :( -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi Pavel,
Вирус рассылает себя не по MX-ам, а через свой SMTP-сервер.
А его никак не распознать? -- Michael Скажи мне сколько я должен, и я скажу кто ты. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 02:18:11PM +0200, Michael Petuschak writes:
Вирус рассылает себя не по MX-ам, а через свой SMTP-сервер.
А его никак не распознать?
На уровне helo/mail_from/rcpt_to - насколько я знаю, никак. :( Ну вот по размеру, разве что. Когда он есть. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 02:18:11PM +0200, Michael Petuschak wrote:
Hi Pavel,
Вирус рассылает себя не по MX-ам, а через свой SMTP-сервер.
А его никак не распознать? думаю, что если вирус - "сам себе smtp" - то вариант типа dnsbl с записыванием туда "откуда прилетело" и далее отшиб коннектов оттуда с 4xx или просто закрыванием коннектов (ipfw deny - вызовет попытки законнектится по новой). Если мощности позволяют - то лучше вообще держать те коннекты открытыми, ИМХО. Может так это тормознётся.
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi Pavel,
P.S. За последние два дня у меня 35G почты принято из мира в /dev/null. :( Причем, насколько я понимаю, если увеличить мощность каналов и машин в четыре раза, было бы принято в четыре раза больше почты. И это при том, что если в MAIL заявлен размер более 48K, письмо сразу реджектится. Просто катастрофа. :(
35G почты по 48K каждое письмо? -- Michael Мое молчанье означает лишь молчанье... =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Michael Petuschak wrote:
Hi Pavel,
P.S. За последние два дня у меня 35G почты принято из мира в /dev/null. :( Причем, насколько я понимаю, если увеличить мощность каналов и машин в четыре раза, было бы принято в четыре раза больше почты. И это при том, что если в MAIL заявлен размер более 48K, письмо сразу реджектится. Просто катастрофа. :(
35G почты по 48K каждое письмо?
Бэкап для хотмейла, не меньше ;) -- UKR.NET Postmaster =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Thu, Sep 25, 2003 at 13:26:59, vladimir.sharun wrote about "[uanog] Re: ПААААМАГИТЕ!":
P.S. За последние два дня у меня 35G почты принято из мира в /dev/null. :( Причем, насколько я понимаю, если увеличить мощность каналов и машин в четыре раза, было бы принято в четыре раза больше почты. И это при том, что если в MAIL заявлен размер более 48K, письмо сразу реджектится. Просто катастрофа. :( 35G почты по 48K каждое письмо? Бэкап для хотмейла, не меньше ;)
Совсем не для hotmail'а и намного хуже. Вирус бьёт по писателям в ньюсы. gul@ принял удар на адреса *.[nr]46*.z2.fidonet.org, как видимые для иерархии fido7, крупной картечью это прошлось по нам (backup MX для тех же адресов) и кроме этого получили удар по собственным юзерам (а у нас исторически крупное гнездо ньюсописателей). В результате вчера пришлось творить экстенсивное наращивание мощностей раз в 5, чтобы принимать этот весь ужас. Тысячи входящих потоков для relay2.lucky.net еле-еле хватило, и видно, что оно способно ещё больше скушать, торможение шло уже на уровне listening backlogs... -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 01:50:01PM +0300, Valentin Nechayev wrote:
Совсем не для hotmail'а и намного хуже. Вирус бьёт по писателям в ньюсы. Да - похоже. Напривер в свой вагон алиасов на @ua.net/@cs.skiev.ua я ещё ни одного не поймал, а в unisol@Me-262 просто нескончаемым потоком, до улёта места в "-". В результате вчера пришлось творить экстенсивное наращивание мощностей раз в 5, чтобы принимать этот весь ужас. Тысячи входящих потоков для relay2.lucky.net Вам хоть есть из чего наращивать... Но вообще мне всегда интересно бывало чего-нить экстремальное переваривать.
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Thu, Sep 25, 2003 at 12:17:24PM +0200, Michael Petuschak writes:
P.S. За последние два дня у меня 35G почты принято из мира в /dev/null. :( Причем, насколько я понимаю, если увеличить мощность каналов и машин в четыре раза, было бы принято в четыре раза больше почты. И это при том, что если в MAIL заявлен размер более 48K, письмо сразу реджектится. Просто катастрофа. :(
35G почты по 48K каждое письмо?
Нет, вирус больше. Просто в случае приема по SMTP (без ESMTP) размер становится известен только после полного его приема. А sendmail в основном закрыт по 10 connections per second, и увеличивать пока особого желания нет. Иногда закрывается по maxchilds 200 и по LA 8. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi Pavel,
35G почты по 48K каждое письмо?
Нет, вирус больше. Просто в случае приема по SMTP (без ESMTP) размер становится известен только после полного его приема.
А клиенты как же? Все-таки отправление мегабайтных картинок и Word'овых документов - совсем сейчас не редкость. -- Michael Женщина на корабле приносит несчастье даже в поезде. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 12:39:49PM +0200, Michael Petuschak writes:
35G почты по 48K каждое письмо?
Нет, вирус больше. Просто в случае приема по SMTP (без ESMTP) размер становится известен только после полного его приема.
А клиенты как же? Все-таки отправление мегабайтных картинок и Word'овых документов - совсем сейчас не редкость.
Клиенты отдельно, у них все не так мрачно. Я про почтовую систему, которая bestMX для *.n46*.z2.fidonet.org. Думал, вытянет, но теперь уже очевидно, что кроме выключения фидошного гейта других вариантов нет. :( -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi Pavel,
Клиенты отдельно, у них все не так мрачно. Я про почтовую систему, которая bestMX для *.n46*.z2.fidonet.org. Думал, вытянет, но теперь уже очевидно, что кроме выключения фидошного гейта других вариантов нет. :(
Через недельку попробуешь включить? -- Michael Все хорошо, что хорошо качается. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 01:52:02PM +0300, Pavel Gulchouck wrote:
Клиенты отдельно, у них все не так мрачно. Я про почтовую систему, которая bestMX для *.n46*.z2.fidonet.org. Думал, вытянет, но теперь уже очевидно, что кроме выключения фидошного гейта других вариантов нет. :(
А всё-таки - такой вариант, как smtp proxy, умеющий задетектить начало вливания вируса и просто порвать коннект нафиг? Да, я понимаю, что "немного некорректно" - но по-моему, это будет работать. -- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi Paul,
Клиенты отдельно, у них все не так мрачно. Я про почтовую систему, которая bestMX для *.n46*.z2.fidonet.org. Думал, вытянет, но теперь уже очевидно, что кроме выключения фидошного гейта других вариантов нет. :( А всё-таки - такой вариант, как smtp proxy, умеющий задетектить начало вливания вируса и просто порвать коннект нафиг? Да, я понимаю, что "немного некорректно" - но по-моему, это будет работать.
Так оно опять придет с тем же делом? -- Michael Должен ли Дарвин отвечать за озверение масс? =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 05:16:04PM +0200, Michael Petuschak wrote:
Hi Paul,
Клиенты отдельно, у них все не так мрачно. Я про почтовую систему, которая bestMX для *.n46*.z2.fidonet.org. Думал, вытянет, но теперь уже очевидно, что кроме выключения фидошного гейта других вариантов нет. :( А всё-таки - такой вариант, как smtp proxy, умеющий задетектить начало вливания вируса и просто порвать коннект нафиг? Да, я понимаю, что "немного некорректно" - но по-моему, это будет работать.
Так оно опять придет с тем же делом? Если оно - "сам себе smtp" - то думаю, что нет. Или "со следующим" прийдёт.
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 05:16:04PM +0200, Michael Petuschak wrote:
Hi Paul,
Клиенты отдельно, у них все не так мрачно. Я про почтовую систему, которая bestMX для *.n46*.z2.fidonet.org. Думал, вытянет, но теперь уже очевидно, что кроме выключения фидошного гейта других вариантов нет. :( А всё-таки - такой вариант, как smtp proxy, умеющий задетектить начало вливания вируса и просто порвать коннект нафиг? Да, я понимаю, что "немного некорректно" - но по-моему, это будет работать. Кстати - есть тут кто, видевший хоть одно письмо от MS к клиентам?
А то я бы предложил прочитать в буфер первых 2KB, и при наличии \nMicrosoft Client\n (не уверен, что там нет пробелов лишних - не смотрел). то ли дропать коннект, то ли "клинить" и дропать по тайм-ауту. Ессно, наверно прийдётся tcp recv size покрутить... OOPS. поглядел - вирус не "сам себе smtp". Но это тоже "немного хорошо" - можно надеяться на стандартное поведение MTA - типа уменьшение connection rate/etc. Плохо тем, что dnsbl по той же причине не катит - будет блокироваться мыло целиком. Вобщем - лучше всего тут - "попытаться тормознуть". То бишь hold/shaping коннектов с обнаруженным вирусом (вот тут и нужен tcp proxy). При этом таки прийдётся нарастить число тазиков в MX'ах, насколько я это понимаю. -- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 06:49:35PM +0300, Paul Arakelyan wrote:
On Thu, Sep 25, 2003 at 05:16:04PM +0200, Michael Petuschak wrote:
Hi Paul,
Клиенты отдельно, у них все не так мрачно. Я про почтовую систему, которая bestMX для *.n46*.z2.fidonet.org. Думал, вытянет, но теперь уже очевидно, что кроме выключения фидошного гейта других вариантов нет. :( А всё-таки - такой вариант, как smtp proxy, умеющий задетектить начало вливания вируса и просто порвать коннект нафиг? Да, я понимаю, что "немного некорректно" - но по-моему, это будет работать. Кстати - есть тут кто, видевший хоть одно письмо от MS к клиентам?
А то я бы предложил прочитать в буфер первых 2KB, и при наличии \nMicrosoft Client\n Поправочка - там \nMicrosoft [Customer|Client|Partner]\n\n, короче - лучше (из vbsfilter велосипед;) ) if (strstr(priv->body, "\n\"September 2003, Cumulative Patch\"")!=NULL)
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Thu, Sep 25, 2003 at 20:58:38, unisol wrote about "[uanog] Re: [uanog] Re: [uanog] Re: ПААААМАГИТЕ!":
А то я бы предложил прочитать в буфер первых 2KB, и при наличии \nMicrosoft Client\n Поправочка - там \nMicrosoft [Customer|Client|Partner]\n\n, короче - лучше (из vbsfilter велосипед;) ) if (strstr(priv->body, "\n\"September 2003, Cumulative Patch\"")!=NULL)
Ну так на milter'е такое делается занефиг - главное вернуть SMFIS_DISCARD если это действительно Swen/Gibe. Более того, drweb-smf это сделает за тебя (хотя он таки вначале всосёт всё письмо). -netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 09:01:57PM +0300, Valentin Nechayev wrote:
Thu, Sep 25, 2003 at 20:58:38, unisol wrote about "[uanog] Re: [uanog] Re: [uanog] Re: ПААААМАГИТЕ!":
А то я бы предложил прочитать в буфер первых 2KB, и при наличии \nMicrosoft Client\n Поправочка - там \nMicrosoft [Customer|Client|Partner]\n\n, короче - лучше (из vbsfilter велосипед;) ) if (strstr(priv->body, "\n\"September 2003, Cumulative Patch\"")!=NULL)
Ну так на milter'е такое делается занефиг - главное вернуть SMFIS_DISCARD Это и был кусок из milter filter /usr/ports/mail/vbsfilter, только суръёзно доделанного до потребностей ;). Но идея в том, чтобы минимальными усилиями "тормознуть" удалённый smtp. Ну не делать же sleep() в milter?
если это действительно Swen/Gibe. Более того, drweb-smf это сделает за тебя (хотя он таки вначале всосёт всё письмо). Если на тех тазиках, где сейчас эти vbsfilter's крутятся поставить drweb, то скорее я это сделаю за drweb первым ;))).
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello, Edward Melnik!
Спасибо. Но как-то может глобально всех лечить ? :) А то смтп сессия всеравно открывается, уже даже если письмо не будет принято. Хоть и на короткое время.
Ну если у тебя cisco, то можно попробовать нарисовать аналогию http://www.iponeverything.net/CodeRed.html (используя Network Based Application Recognition -- NBAR), только под шаблон Gibe. IMHO должно получится... -- Laa =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 09:49:05AM +0300, Oleksandr Listopad wrote:
Ну если у тебя cisco, то можно попробовать нарисовать аналогию http://www.iponeverything.net/CodeRed.html (используя Network Based Application Recognition -- NBAR), только под шаблон Gibe. IMHO должно получится...
идея интересная, но пока сделал :
Sep 25 09:56:55 oberon postfix/cleanup[23251]: 4DED419DB2: reject: body TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA from unknown[200.223.122.252]; from=
Hello Edward, Thursday, September 25, 2003, 10:02:00 AM, you wrote: EM> On Thu, Sep 25, 2003 at 09:49:05AM +0300, Oleksandr Listopad wrote:
Ну если у тебя cisco, то можно попробовать нарисовать аналогию http://www.iponeverything.net/CodeRed.html (используя Network Based Application Recognition -- NBAR), только под шаблон Gibe. IMHO должно получится...
EM> идея интересная, но пока сделал :
EM> Sep 25 09:56:55 oberon postfix/cleanup[23251]: 4DED419DB2: reject: body TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA from unknown[200.223.122.252];
EM> from=
Hello ! On Thu, 25 Sep 2003, Oleksandr Listopad wrote:
А то смтп сессия всеравно открывается, уже даже если письмо не будет принято. Хоть и на короткое время.
Ну если у тебя cisco, то можно попробовать нарисовать аналогию http://www.iponeverything.net/CodeRed.html (используя Network Based Application Recognition -- NBAR), только под шаблон Gibe. IMHO должно получится...
Ага, осталось только чтобы NBAR имел расширение выше L5 для smtp. -- S/Y, Alexander, MD, nic-hdl: AJP1-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 09:32:37AM +0300, Oleksandr Listopad wrote:
Если postfix, то можно построить body_checks, что достаточно просто.
|^TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA|i REJECT Win32.Gibe worm!
на гугле есть более подробный трид в mailing.postfix.users.
Еще можно воспользоваться header_checks, но там есть варианты ...
Только лучше DISCARD, судя по логам оно пытается пересылать снова и снова... -- Regards, Yaroslav Halchinsky =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello Yaroslav, Friday, September 26, 2003, 4:49:44 PM, you wrote: YH> On Thu, Sep 25, 2003 at 09:32:37AM +0300, Oleksandr Listopad wrote:
Если postfix, то можно построить body_checks, что достаточно просто.
|^TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA|i REJECT Win32.Gibe worm!
на гугле есть более подробный трид в mailing.postfix.users.
Еще можно воспользоваться header_checks, но там есть варианты ...
YH> Только лучше DISCARD, судя по логам оно пытается пересылать снова и снова... если это полноценный MTA шлет, то тогда смотреть свой reject_code, если какой-то дикий зверёк, то забить. -- Cheers, Konstantin Nikonenko http://www.kot.dp.ua/ Spetztekhosnastka JSC http://www.d-sto.com/ =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Sep 26, 2003 at 05:06:06PM +0300, Konstantin Nikonenko wrote:
YH> Только лучше DISCARD, судя по логам оно пытается пересылать снова и снова... если это полноценный MTA шлет, то тогда смотреть свой reject_code, если какой-то дикий зверёк, то забить.
reject там 5XX, однако в логах с одного хоста, с одного from на один to раз 15 встречается - и все эти 15 раз мы принимали письмо полностью. -- Regards, Yaroslav Halchinsky =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello, Yaroslav Halchinsky!
YH> Только лучше DISCARD, судя по логам оно пытается пересылать снова и снова... если это полноценный MTA шлет, то тогда смотреть свой reject_code, если какой-то дикий зверёк, то забить.
reject там 5XX, однако в логах с одного хоста, с одного from на один to раз 15 встречается - и все эти 15 раз мы принимали письмо полностью.
Скорее всего это 15 раз посланный вирь... :( или DISCARD изменил ситуацию? -- Laa =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Sep 26, 2003 at 06:05:32PM +0300, Oleksandr Listopad wrote:
Скорее всего это 15 раз посланный вирь... :( или DISCARD изменил ситуацию?
Может и 15 раз. По тому случаю отстали раньше, чем был применен DISCARD. -- Regards, Yaroslav Halchinsky =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Sep 26, 2003 at 06:05:32PM +0300, Oleksandr Listopad wrote:
reject там 5XX, однако в логах с одного хоста, с одного from на один to раз 15 встречается - и все эти 15 раз мы принимали письмо полностью.
Скорее всего это 15 раз посланный вирь... :( или DISCARD изменил ситуацию?
Похоже, discard таки меняет ситуацию - там, где это применено, повторных троек (host, sender, recepient) не встречается, в отличии от тех, где говорится reject. Т.е. эта зараза понимает, что ее послали, и лезет снова и снова. На что рассчитано - не понятно, разве что еще больше загрузить каналы и MTA. -- Regards, Yaroslav Halchinsky =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Sat, Sep 27, 2003 at 03:05:07PM +0300, Yaroslav Halchinsky writes:
On Fri, Sep 26, 2003 at 06:05:32PM +0300, Oleksandr Listopad wrote:
reject там 5XX, однако в логах с одного хоста, с одного from на один to раз 15 встречается - и все эти 15 раз мы принимали письмо полностью.
Скорее всего это 15 раз посланный вирь... :( или DISCARD изменил ситуацию?
Похоже, discard таки меняет ситуацию - там, где это применено, повторных троек (host, sender, recepient) не встречается, в отличии от тех, где говорится reject. Т.е. эта зараза понимает, что ее послали, и лезет снова и снова. На что рассчитано - не понятно, разве что еще больше загрузить каналы и MTA.
Да нет же, вирус шлет себя провайдеру, а дальше уже обычный MTA рассылает. Твой MTA общается непосредственно с вирусом только если твой клиент заразился. Другое дело, что в случае reject отлуп уйдет случайному человеку, так что нужно делать discard. -- Lucky carrier, Паша. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Sat, Sep 27, 2003 at 03:13:56PM +0300, Pavel Gulchouck wrote:
Похоже, discard таки меняет ситуацию - там, где это применено, повторных троек (host, sender, recepient) не встречается, в отличии от тех, где говорится reject. Т.е. эта зараза понимает, что ее послали, и лезет снова и снова. На что рассчитано - не понятно, разве что еще больше загрузить каналы и MTA.
Да нет же, вирус шлет себя провайдеру, а дальше уже обычный MTA рассылает. Твой MTA общается непосредственно с вирусом только если твой клиент заразился.
Другое дело, что в случае reject отлуп уйдет случайному человеку, так что нужно делать discard.
Получается, что эти broken MTA не понимают ответов 5XX после DATA? -- Regards, Yaroslav Halchinsky =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Sat, Sep 27, 2003 at 03:19:23PM +0300, Yaroslav Halchinsky wrote:
On Sat, Sep 27, 2003 at 03:13:56PM +0300, Pavel Gulchouck wrote:
Похоже, discard таки меняет ситуацию - там, где это применено, повторных троек (host, sender, recepient) не встречается, в отличии от тех, где говорится reject. Т.е. эта зараза понимает, что ее послали, и лезет снова и снова. На что рассчитано - не понятно, разве что еще больше загрузить каналы и MTA.
Да нет же, вирус шлет себя провайдеру, а дальше уже обычный MTA рассылает. Твой MTA общается непосредственно с вирусом только если твой клиент заразился.
Другое дело, что в случае reject отлуп уйдет случайному человеку, так что нужно делать discard.
Получается, что эти broken MTA не понимают ответов 5XX после DATA? Нет - скорее там вагон одинаковых сообщений и "noone gives a flying ... about that". Вот если б привертеть "тормозятор" процесса приёма таких мыл - то может помочь в плане трафик поэкономить и может таки добиться чтоб "с той стороны" чего-то начали делать. Ну и я не исключаю наличия таких МТА - поскольку подобная идея посещала мои мозги в одной ситуации. Соответственно чьи-то ещё она тоже могла посетить, только с большей результативностью.
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 09:07:52AM +0300, Edward Melnik wrote:
Hello!
Если у кого последняя неделя в плане приходящей почты была спокойная - то Вам повезло. Нам же в КПИ - не очень. Та вот уж по жизни в КПИ не везёт :(((.
Win32.Gibe идет ужасными рядами. И вот хотелось бы спросить , что есть Проблема в Штатах практически отсутствует(то есть, я там её не ощущаю аж ни разу). Может что-то в консерватории? из вариантов, кроме как принять это письмо , чекнуть и зарубить дрвебом? Наверно прийдётся решить проблему радикально - почту принимать только от своей кафедры/общаги и от серверов на бэкбоне. server owner'ов построить и обязать то ли ваще аттачи с exe/... не выпускать, то ли антивирус прикрутить(первое - проще и правильнее). И вообще - накой вам там drweb? Выпендрёж это, в ваших-то условиях. /usr/ports/mail/noattach - максимум, что вам необходим. Сравни ресурсы для "пропарсить структуру/разобрать base64/проверить на 1M неизвестных и несуществующих вирусов супер-пупер-нейросканером/ решить таки, пускать или полечить до смерти" и просто strstr() по телу письма раз N и "сделать выводы".
А то просто сервера из-за количества смтп сессий уже не откликаются на telnet ... 25. Увеличивать количество смтп сессий не предлагать - итак уже на пределе тазиков.
P4-1.7GHz/256RAM - не поверишь, 500+ сессий было, sendmail patched немного+ noattach. И при этом главное было - 99.9% послать с 55x, не сожрать всю полосу в линке и поменьше терять сессий по тайм-ауту, и ещё умудряться нормально принимать и отправлять почту от юзеров(иначе - chargeback ака "деньги назад", причём немалые).
Как можно их срубывать что бы они даже и не пытались идти повторно, или Есть такой прибор - для обнаружения элементов с p-n переходами и уничтожения этих самых элементов. Намёк понятен ;)))? вообще что-то сделать с этим ? Может все вместе :) Не пытайтесь решать административные, по сути, проблемы техническими методами - если только у вас не гора времени и неограниченность в ресурсах. Закрыть рассылку executable content, а то и doc впридачу - пусть учатся winzip/winrar пользоваться. Немного постонут и "нэмае ниякойи ложкы". ;)
ps за эту недельку более 5 Гб в /infected у дрвеба пришлось вычистить и это уже не смешно. Причем сейчас - это 99% входящая зараза. За пальцогнутие надо платить. Башкой надо думать - полигон и потренироваться в прикручивании чего-либо - это одно, а реальная жизнь - совсем другое. В ISP - да, не построишь особо клиентов, они денег платят. Возможности DoS в ISP очень ограничены каналами - здесь не сильно балуются даже десятками M, а сотен M юзера ваще не увидят ещё лет 10. А теперь сравни с сетью КПИ - где по сути большой бардак и весьма толстые каналы (при уровне серверов явно не дотягивающем для "экстремального переваривания" нагрузок), количество клиентов порадовало бы любого здешнего ISP (и наверно при их запросах сперва поставило в неприличную позу, финансы не рассматриваем;) ). При этом реально правила можете создавать себе вы сами - ибо монополисты в пределах своей юрисдикции, и клиенты от вас не побегут - некуда ;).
pps просьба ко всем не писать никому на *.@*.ntu-kpi.kiev.ua - оперативно не дойдет. И пользоватся альтернативным мылом. Это каким - детским или хозяйственным ;)? Или "мыло с отдушкой скрасит последние мгновения общения шеи с верёвкой"? :))
P.S. А вот SMS'ка ко мне из КПИ приползла без всяких задержек... -- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 10:04:36AM +0300, Paul Arakelyan wrote:
Это каким - детским или хозяйственным ;)? Или "мыло с отдушкой скрасит последние мгновения общения шеи с верёвкой"? :)) Ага. Сервера с юзверем.
P.S. А вот SMS'ка ко мне из КПИ приползла без всяких задержек...
Надо что-то с этим делать ... нехорошо (шутка) -- Edward Melnik =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Sep 25, 2003 at 10:04:36AM +0300, Paul Arakelyan wrote: PA>On Thu, Sep 25, 2003 at 09:07:52AM +0300, Edward Melnik wrote: PA>> Hello! PA>> PA>> Если у кого последняя неделя в плане приходящей почты была спокойная PA>> - то Вам повезло. Нам же в КПИ - не очень. PA>Та вот уж по жизни в КПИ не везёт :(((. PA>> Win32.Gibe идет ужасными рядами. И вот хотелось бы спросить , что есть PA>Проблема в Штатах практически отсутствует(то есть, я там её не ощущаю PA>аж ни разу). Может что-то в консерватории? PA>> из вариантов, кроме как принять это письмо , чекнуть и зарубить дрвебом? PA>Наверно прийдётся решить проблему радикально - почту принимать только PA>от своей кафедры/общаги и от серверов на бэкбоне. server owner'ов PA>построить и обязать то ли ваще аттачи с exe/... не выпускать, то PA>ли антивирус прикрутить(первое - проще и правильнее). PA>И вообще - накой вам там drweb? Выпендрёж это, в ваших-то условиях. PA>/usr/ports/mail/noattach - максимум, что вам необходим. Сравни PA>ресурсы для "пропарсить структуру/разобрать base64/проверить на PA>1M неизвестных и несуществующих вирусов супер-пупер-нейросканером/ PA>решить таки, пускать или полечить до смерти" и просто strstr() PA>по телу письма раз N и "сделать выводы". тогда поставить exim там есть возможность зарерервитовать часть ресурсов для определенных сетей PA>> PA>> А то просто сервера из-за количества смтп сессий уже не откликаются на PA>> telnet ... 25. Увеличивать количество смтп сессий не предлагать - итак уже PA>> на пределе тазиков. PA>P4-1.7GHz/256RAM - не поверишь, 500+ сессий было, sendmail patched немного+ PA>noattach. И при этом главное было - 99.9% послать с 55x, не сожрать всю PA>полосу в линке и поменьше терять сессий по тайм-ауту, и ещё умудряться PA>нормально принимать и отправлять почту от юзеров(иначе - chargeback ака PA>"деньги назад", причём немалые). если письмо все равно принято (а body ж проверяется), то уж лучше тогда discard PA>> Как можно их срубывать что бы они даже и не пытались идти повторно, или PA>Есть такой прибор - для обнаружения элементов с p-n переходами и PA>уничтожения этих самых элементов. Намёк понятен ;)))? PA>> вообще что-то сделать с этим ? Может все вместе :) PA>Не пытайтесь решать административные, по сути, проблемы техническими PA>методами - если только у вас не гора времени и неограниченность в ресурсах. PA>Закрыть рассылку executable content, а то и doc впридачу - пусть учатся PA>winzip/winrar пользоваться. Немного постонут и "нэмае ниякойи ложкы". ;) PA>> ps за эту недельку более 5 Гб в /infected у дрвеба пришлось вычистить и PA>> это уже не смешно. Причем сейчас - это 99% входящая зараза. PA>За пальцогнутие надо платить. Башкой надо думать - полигон и потренироваться PA>в прикручивании чего-либо - это одно, а реальная жизнь - совсем другое. PA>В ISP - да, не построишь особо клиентов, они денег платят. Возможности DoS PA>в ISP очень ограничены каналами - здесь не сильно балуются даже десятками M, PA>а сотен M юзера ваще не увидят ещё лет 10. А теперь сравни с сетью КПИ - PA>где по сути большой бардак и весьма толстые каналы (при уровне серверов PA>явно не дотягивающем для "экстремального переваривания" нагрузок), PA>количество клиентов порадовало бы любого здешнего ISP (и наверно при их PA>запросах сперва поставило в неприличную позу, финансы не рассматриваем;) ). PA>При этом реально правила можете создавать себе вы сами - ибо монополисты PA>в пределах своей юрисдикции, и клиенты от вас не побегут - некуда ;). PA>> pps просьба ко всем не писать никому на *.@*.ntu-kpi.kiev.ua - оперативно PA>> не дойдет. И пользоватся альтернативным мылом. PA>Это каким - детским или хозяйственным ;)? Или "мыло с отдушкой скрасит PA>последние мгновения общения шеи с верёвкой"? :)) PA>P.S. А вот SMS'ка ко мне из КПИ приползла без всяких задержек... -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Big trouble - Power Company having EMP problems with their reactor =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (14)
-
Alexander Trotsai -
Denis P. Khripun -
Edward Melnik -
Konstantin Nikonenko -
Michael Petuschak -
Oleksandr Listopad -
Oleksandr Pantus -
Paul Arakelyan -
Pavel Gulchouck -
Sergey Babitch -
Valentin Nechayev -
vladimir.sharun@ukr.net -
Yaroslav Halchinsky -
Yury Yaroshevsky