dawnshade wrote:
>>>Есть небольшое рацпредложение по ведению локальных dbsbl.
>>>>>>Возвращать несколько значений из DNSBL, вида
>>>- 127.0.0.1 - немедленный реджект
>>>- 127.0.0.2 - грейлистинг, так как критерии для листинга туда слишком жесткие для реджекта сразу.
>>>>посмотрел я на те dnsbl, что у меня уже есть и думаю, что наверное лучше
>>просто разные dnsbl делать. например, хосты, с которых приходят письма
>>без Message-ID, я помещаю в message-id.rbl.mx.org.ua. т. е. я делю DNSBL
>>по набору критериев, за которые в них помещаю
>>>>>>>Соотв, для возвращающих 127.0.0.2 предлагаемые критерии:
>>>>>>1) Рассылка вирья
>>>2) Подбор юзеров (попыток с неудачным RCPT TO более N (N>5))
>>>3) Те или иные аномалии в письме (отсутвие msgid, etc)
>>>4) Спам с большим счетом (для рейтинговых AS систем)
>>>5) Явное нарушение ratelimit
>>>6) Хосты, с которых mailfrom не прошел верификацию, т.е. "Could not complete sender verify"
>>>>а вот с этим надо быть осторожнее. у людей могли быть временные проблемы
>>с их MTA, они их пофиксят, а ты их после этого еще и грейлистингом нагладишь
>> только не с MTA, а днс наверное??
именно с MTA. место нафиг закончилось. и ты в ответ на
verify=sender/callout получишь именно "Could not complete sender verify"
> имеются в виду те, у которых домен нерезолвится.
так резолвинг домена отправителя нужно проверять не callout'ом. но мысль
я понял. поддерживаю
>>>7) отсутвие реверса?
>>>>тоже самое. за отсутствие реверса и так можно награждать грейлистингом
>>(без dnsbl). то как только появилась корректная запись в реверсе,
>>отпадает причина грейлистить письма с этого хоста.
>> да, 7 вычеркиваем, не подумал.
ok
>>>8) не прошедший callout?
>>>>вот это уже более подходящий признак, чем в пункте 6
>>правда, по началу кучу смартхостов залистим
>> выкинуть смартхосты как имеющие реверс? дополнительное условие.
наличие реверса не является четким критерием смартхоста. можно просто
скипать грейлистинг для коннектов с использованием TLS. у нас у всех
прикручена поддержка STARTTLS. если со стороны отправителя адекватно
настроенный MTA, он будет использовать TLS. если спамомет - скорее всего нет
>>в общем и целом я с идеей согласен
>>>>только предлагаю трансформировать ее и отдельный DNSBL. при этом не
>>нужно будет анализировать A запись хоста в DNSBL, письма с залистенных
>>хостов можно грейлистить, а причину занесения в DNSBL будем указывать в
>>TXT записях.
>> да, вообщем-то логичнее нести отдельной зоной.
на том и порешим
я пока буду пару дней занят (новая работка подвалила). после этого
допилю фильтры, при срабатывании которых нужно будет листить хост
отправителя в DNSBL, формализую синтаксис причины листинга.
остается открытым вопрос о времени жизни таких записей в DNSBL. на
сколько долго держать хосты залистенными?
--
Best wishes Victor Ustugov mailto:victor на corvax.kiev.ua
public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc
ICQ: 77186900, 32418694 CRV2-RIPE, CRV-UANIC