Re: SPAM фильтрация

[Alexey Lobanov <A.Lobanov@cro-rct.ru>]

Hi all.

On 11/10/06 17:16, Artem Chuprina wrote:

> Alexey Lobanov -> Roman Sozinov  @ Wed, 11 Oct 2006 16:34:48 +0400:
> 
>  AL> Одна из идей: любая фильтрация на основе содержимого *текста* письма
>  AL> (она же "цензура по содержанию") недопустима.

> Это экстремизм. 

Так точно. Либеральный экстремизм. Мне лучше пропустить спам, чем убить
деловое письмо. В частности, контора занимается медицинскими
исследованиями, и мне совершенно не хочется проверять, как фильтр
отреагирует на регулярное упоминание в тексте известных препаратов фирмы
пфайзер :-)

> Все остальное спамер с легкостью подделывает.  Ну,
> разве что кроме хоста-отправителя, но фильтровать по хосту-отправителю
> без ума (а экстремисты крайне редко с умом это делают) - это еще более
> убедительные грабли.  Типичный случай - при таймауте соединения к
> DNS-серверу отбить письмо с 5xx вместо 4xx.  Экстремисты вообще очень не
> любят кодов 4xx.

И определённая логика в этом есть. По 4xx письмо зависает между
серверами на неопределённое время, и судьба его неизвестна ни
отправителю, ни получателю. По 5xx отправитель хотя бы сразу узнаёт о
проблеме и (опять оптимистическое предположение...) может предпринять
активные действия по доставке информации другими средствами.

> 
> Вообще же для экстремистов лучший рецепт - всю не понравившуюся по
> любому критерию почту принимать в /dev/null.
> 
>  AL> И, разумеется, фильтрация должна происходить на этапе входящей SMTP
>  AL> сессии, а не после неё. Как у вас и сделано. Только в этом случае
>  AL> легитимный отправитель сразу получит осмысленную диагностику ("ваш
>  AL> сервер отсутствует в реверсном DNS...") и пойдёт либо к своему
>  AL> почтмейстеру, либо к факсу. А жертвы joe-job не получат ложных
>  AL> уведомлений.
> 
> Во-первых.  Это если письмо отфутболивается.  Что не бессмысленно, да,
> но см. "во-вторых" и далее.  Если же оно помечается как спам на основе
> содержимого, но проходит - цензура по содержимому вполне валидна.

Э... а смысл? Пометить и пропустить? Почему нельзя такое письмо
пропустить просто так, не помечая?

>  При
> условии, что получатель в курсе, что такое спам, и куда его девают.  И
> имеет к этому "куда" доступ.  Это, разумеется, не исключает
> отфутболивания письма на уровне SMTP-сессии на основе вышепоскипанных
> экстремистских критериев.
> 
> Во-вторых.  Что очень важно.  Типичный юзер, судя по рассказам админов,
> не умеет не то что прочесть сообщение об ошибке - ему не хватает ни IQ,
> ни дрессировки позвать админа при получении оного сообщения.  Он его
> удаляет не глядя, а потом возмущается "почта не ходит".  Причем,
> поскольку сообщение об ошибке уже удалено, выяснить, каким именно
> образом она не ходит в этот раз, не представляется возможным.

Дык, это чисто организационная проблема на стороне отправителя. И не нам
её решать. Максимум  - давать осмысленную диагностику в 5xx, не "access
denied", а развёрнутую. Вплоть до "please contact postmaster@mydomain".

> 
> В-третьих.  Возникают большие проблемы с резервными MX.  Потому как для
> отфутболивания на уровне SMTP все MX'ы должны реагировать одинаково.

Да. И я согласен, что держать запасной MX на провайдерском релее - очень
плохое решение. По многим причинам. Например, этот самый провайдерский
релей имеет хорошие шансы регулярно влетать в spamcop и прочие bl по
причине "scattermail", принимая спам и червей для несуществующих ящиков
у клиента.

Если все MX-и контролируются владельцем домена, то проблемы нет. Если
почту принимает только провайдер на "виртуальный домен", то проблемы
тоже нет.

А.Л.


> Иначе основной будет отфутболивать резервному, а тому, бедолаге, что
> делать?
>