Chinaunix

标题: 大家有沒有收到此病毒郵件?一小時居然有几千封... [打印本页]

作者: 枫影谁用了 时间: 2005-11-24 11:11
标题: 大家有沒有收到此病毒郵件?一小時居然有几千封...
qmail服務器

來自
info@hiratagroup.com
webmaster@top.com.ph
webmaster@163.com
這個郵箱,
內容有一個附件
附件名是mail_boay.zip......

[ 本帖最后由枫影谁用了于 2005-11-24 13:31 编辑 ]

11.JPG (110.13 KB, 下载次数: 78)

作者: 思一克 时间: 2005-11-24 11:12
收到了。昨天查毒还查不出。可以手工禁止掉

作者: 枫影谁用了 时间: 2005-11-24 11:18

原帖由 思一克 于 2005-11-24 11:12 发表
收到了。昨天查毒还查不出。可以手工禁止掉

你是怎麽禁的????

作者: 思一克 时间: 2005-11-24 11:19
我SERVER上用防毒防垃圾墙。

作者: 枫影谁用了 时间: 2005-11-24 11:20

原帖由 思一克 于 2005-11-24 11:19 发表
我SERVER上用防毒防垃圾墙。

給點建議~~偶的qamil昨禁???

谢谢

作者: 思一克 时间: 2005-11-24 11:22
仅仅靠QMAIL不可以。
如果你没有防垃圾墙软件，如果有qmail-qscanner, 也可以。
挡住mail.zip mail_body.zip即可

作者: 枫影谁用了 时间: 2005-11-24 13:06

原帖由 思一克 于 2005-11-24 11:22 发表
仅仅靠QMAIL不可以。
如果你没有防垃圾墙软件，如果有qmail-qscanner, 也可以。
挡住mail.zip mail_body.zip即可

现在可昨整呢！！！！现在又来了六百封！！！

作者: 思一克 时间: 2005-11-24 13:10
同情ING。但来不及了

作者: 枫影谁用了 时间: 2005-11-24 13:18

原帖由 思一克 于 2005-11-24 13:10 发表
同情ING。但来不及了

服务器开始报警啦

C086D5983D851A5923E0246B5A54C194.JPG (20.81 KB, 下载次数: 68)

作者: abel 时间: 2005-11-24 13:52
就這樣收到吐血而死,而不能做任何的避免動作 ?
例如 Load Average , Rate Control , iptables , firewall ?

作者: 枫影谁用了 时间: 2005-11-24 13:55

原帖由 abel 于 2005-11-24 13:52 发表
就這樣收到吐血而死,而不能做任何的避免動作 ?
例如 Load Average , Rate Control , iptables , firewall ?

用iptables禁了好几个域，也有思一克版主说的那几个ip，都禁了。

作者: 我菜我怕谁 时间: 2005-11-24 13:57
服务器前面有没有防火墙?? 如果有直接禁掉那个ip或域名.
奇怪.你建服务器时候没有做防毒...

作者: 思一克 时间: 2005-11-24 14:00
防毒软件直到昨天晚间还不起作用.

一般2-3天后ANTI-VIRUS才可以,对于新病毒

作者: abel 时间: 2005-11-24 14:00

原帖由 我菜我怕谁 于 2005-11-24 13:57 发表
服务器前面有没有防火墙?? 如果有直接禁掉那个ip或域名.
奇怪.你建服务器时候没有做防毒...

在同一台機器做 anti-virus 肯定更早陣亡
這種情況下, 因為我只用 sendmail , 有很多方法可以避免,
例如機器 Load 超過 20, 我就不收信, 每個 IP 的連線只能1分鐘 3 次以內,
access 檔掉域名 or IP, hosts.allow 檔掉 IP , procmail 中過濾附件並記錄 IP ....

作者: 枫影谁用了 时间: 2005-11-24 14:04

原帖由 abel 于 2005-11-24 14:00 发表

在同一台機器做 anti-virus 肯定更早陣亡
這種情況下, 因為我只用 sendmail , 有很多方法可以避免,
例如機器 Load 超過 20, 我就不收信, 每個 IP 的連線只能1分鐘 3 次以內,
access 檔掉域名 or IP, hosts.a ...

access 檔掉域名 or IP, hosts.allow 檔掉 IP , procmail 中過濾附件並記錄 IP ....

域名，ip已经更换过很多次。。。从昨天开始的病毒。。。有更换过几十个ip...

后来我向业界的了解了一下，我以为就我的服务器有，原来在这几天，深圳百分之六十的服务器都收到这样的攻击。

作者: 我菜我怕谁 时间: 2005-11-24 14:05
打补丁,反查ip,查不到就拒收.

作者: 思一克 时间: 2005-11-24 14:07
To Abel,

不会阵亡的. 我的SERVER们就是单机上的ANTI-VIRUS.

如果ANTI-SPAM等做的好,ANTI-VIRUS几乎没有什么事做. 每天扫出的VIRUS不超过10个,而进入的SMTP连接有数万,到10万(我没有精确统计)

作者: 我菜我怕谁 时间: 2005-11-24 14:07
[quota]
后来我向业界的了解了一下，我以为就我的服务器有，原来在这几天，深圳百分之六十的服务器都收到这样的攻击。
[/quota]
汗... 我也在宝安区,不过我的服务器还没发现有这种问题.

作者: abel 时间: 2005-11-24 14:07

原帖由 我菜我怕谁 于 2005-11-24 14:05 发表
打补丁,反查ip,查不到就拒收.

那你要拒收全中國的信件 ? 中國的反查可以成的比例只有 0.1%
中毒與否與反查根本上沒有什麼關係

作者: abel 时间: 2005-11-24 14:10

原帖由 思一克 于 2005-11-24 14:07 发表
To Abel,

不会阵亡的. 我的SERVER们就是单机上的ANTI-VIRUS.

如果ANTI-SPAM等做的好,ANTI-VIRUS几乎没有什么事做. 每天扫出的VIRUS不超过10个,而进入的SMTP连接有数万,到10万(我没有精确统计)

就系統來說,單純的信件 IO 不做 content filter 比做了 content filter 還低,
這我不相信,你的狀況只是機器夠力的問題,單機做content filter 肯定比不做 loading 還高

作者: 我菜我怕谁 时间: 2005-11-24 14:11

原帖由 abel 于 2005-11-24 14:07 发表

中國的反查可以成的比例只有 0.1%

不会吧...

作者: 枫影谁用了 时间: 2005-11-24 14:13

原帖由 abel 于 2005-11-24 14:07 发表

那你要拒收全中國的信件 ? 中國的反查可以成的比例只有 0.1%
中毒與否與反查根本上沒有什麼關係

的确如此！如果我这样做的话中国得分之九九的邮件将会拒收。。。

作者: abel 时间: 2005-11-24 14:14

原帖由 我菜我怕谁 于 2005-11-24 14:11 发表

不会吧...

我跟你講得絕對是事實,
中國超過 70000000 (7千萬) 個 IP 有反解的只有 20 萬個,
恐怕這個反解數字連北歐國家的冰島都比不上

作者: 我菜我怕谁 时间: 2005-11-24 14:18
可不可以考虑在邮件服务器前面再做一个简单邮件服务器进行过滤.然后将正常信件转发到后面服务器上...

作者: 大麻 时间: 2005-11-24 15:22
怪了，我怎么没有收到？

作者: kochunbslee 时间: 2005-11-24 15:22
在还没有补丁时，我用比较愚蠢的方法，就是 filter zip 档

作者: 枫影谁用了 时间: 2005-11-24 15:44
为虾米那些人没完没了~~~~~

今天收的邮件已经有六千封了。。。:em12::em12::em12::em12:

作者: 思一克 时间: 2005-11-24 16:00
To 枫影,

你先把所有.ZIP文件都BLOCK了,不也可以阻挡了吗

作者: 枫影谁用了 时间: 2005-11-24 16:07

原帖由 思一克 于 2005-11-24 16:00 发表
To 枫影,

你先把所有.ZIP文件都BLOCK了,不也可以阻挡了吗

过滤这个也不是很管用！我用iptables做了过滤~~~

发的量大得很！！！:em12::em12::em12:

害得我现在正常用户发的邮件积在队列里面。

正常用户发的邮件要等五六分钟才从队列出发。进的邮件开始进不来了。。。

[ 本帖最后由枫影谁用了于 2005-11-24 16:09 编辑 ]

作者: 思一克 时间: 2005-11-24 17:16
iptables 怎能过滤zip 文件?

你的SERVER需要好好整理了.这样的是不行的.

作者: yzhkp 时间: 2005-11-24 17:31
我也收到了
This_is_an_automatically_generated_Delivery_Status_Notification.

SMTP_Error_[]
I'm_afraid_I_wasn't_able_to_deliver_your_message.
This_is_a_permanent_error;_I've_given_up._Sorry_it_didn't_work_out.

The_full_mail-text_and_header_is_attached!

这样的邮件。我的服务器使用了rbl+列表，但是也无效。很有可能是先突破rbl+而后，有人执行了里面的附件，而后全网爆发的。我现在收到的垃圾邮件全是内网发的。

作者: 枫影谁用了 时间: 2005-11-24 17:39

原帖由 思一克 于 2005-11-24 17:16 发表
iptables 怎能过滤zip 文件?

你的SERVER需要好好整理了.这样的是不行的.

有的！layer7

作者: 枫影谁用了 时间: 2005-11-24 18:00

原帖由 yzhkp 于 2005-11-24 17:31 发表
我也收到了
This_is_an_automatically_generated_Delivery_Status_Notification.

SMTP_Error_[]
I'm_afraid_I_wasn't_able_to_deliver_your_message.
This_is_a_permanent_error;_I've_given_up._Sorry_it_ ...

幸運的是我的內網用戶沒有打開並運行這樣的附件.現在我用layer7過濾,不過好像不怎麽理想.

好像和編碼有關系.

作者: wxxszzz 时间: 2005-11-24 21:31
如果是在QMAIL下使用ClamAV杀毒软件
使用他的一个辅助插件 clamdmail 的插件.
每一个使用25端口进入邮件服务器的邮件,只要有附件,先杀毒,
如果有毒就拒收,
实际就是
qmail+clamdmail

而clamdmail包含
clamav及spamassassin

有病毒的邮件直接拒绝,
而垃圾邮件则只是在主题上打上标记而已.
你可以让使用你的邮件服务器的人在客端使用签名机制
然后让spamassassin直接判断是否有签名,有的话就不是垃圾邮件啦.

作者: hzqbbc 时间: 2005-11-24 22:28

原帖由 abel 于 2005-11-24 13:52 发表
就這樣收到吐血而死,而不能做任何的避免動作 ?
例如 Load Average , Rate Control , iptables , firewall ?

呵呵，楼上遇到这个问题的朋友要实现这些，有不少困难哦。

其实iptables 装个ipt_connlimit补丁，限制一下25端口的单ip tcp并发数，以及频率限制，就可以解决不少问题。还有很多办法。只是看有没有能力实现了。

作者: 枫影谁用了 时间: 2005-11-25 08:24
............
[32049:7233238] -A INPUT -s 219.133.237.115 -j DROP
[314203:19312744] -A INPUT -s 218.12.171.40 -j DROP
[7050:338404] -A INPUT -s 198.81.129.100 -j DROP
[42:2016] -A INPUT -s 211.196.154.97 -j DROP
[18:1080] -A INPUT -s 211.196.154.95 -j DROP
............

今天早上用iptables-save -c 看到的情况。看来那些人昨天晚上又发动规模更大的攻击，相当一部分给档了。
昨天服务器接收的邮件突破12000封。。。。

作者: ilovecr 时间: 2005-11-25 12:45
拜托，。。
先杀毒。在anti-spam.
你这个流程。。比较特殊。

原帖由 思一克 于 2005-11-24 14:07 发表
To Abel,

不会阵亡的. 我的SERVER们就是单机上的ANTI-VIRUS.

如果ANTI-SPAM等做的好,ANTI-VIRUS几乎没有什么事做. 每天扫出的VIRUS不超过10个,而进入的SMTP连接有数万,到10万(我没有精确统计)

作者: 思一克 时间: 2005-11-25 12:52
To ilovecr,

你认为次序是你说的那样？

作者: abel 时间: 2005-11-25 13:47

原帖由 思一克 于 2005-11-25 12:52 发表
To ilovecr,

你认为次序是你说的那样？

我也這麼認為,
virus 是 pattern match ,
spam 是 content filter , 還因為不同的 anti spam model (評分,貝氐演算,統計,RBL 等) 行為影響

所佔的 loading , anti spam 要重的多的
是毒,很明確的 drop 也不用 spam filter
是 spam 這個就很不明確了,也不可能你說他是 spam 就一定是 spam, 你說他不是 spam 就不是spam, 大多還是做個標記,再 pass 給 anti-virus 作業,如此就是兩次處理了

作者: 思一克 时间: 2005-11-25 13:56
To Abel,

ANTI-SPAM 不只是PATTERN MATCH，甚至主要不是。
先根据连入者行为信息判断（这时还没有CONTENT），就可以将90%的SPAM拒之门外。剩的小部分在PATTERN。

而病毒邮件，95%符合行为不规范的范围，所以我说ANTI-SPAM搞的好，ANTI-VIRUS就没有什么负担。

凡是将进入邮件先ANTI-VIRUS，再ANTI-SPAM的邮件GATEWAY，（XXX-WALL）等东西（有的是商业的，我不说名字了），一律都不好用。扔掉吧。

作者: abel 时间: 2005-11-25 14:07

原帖由 思一克 于 2005-11-25 13:56 发表
To Abel,

ANTI-SPAM 不只是PATTERN MATCH，甚至主要不是。
先根据连入者行为信息判断（这时还没有CONTENT），就可以将90%的SPAM拒之门外。剩的小部分在PATTERN。

你只要根據 ehlo/mail from/rcpt to/ 就知道是 spam 了 ? 那是不可能有 90% 的,最多我從我的經驗來看
有 40% 就算了不起了, data 以後的都算是 content , 如果你真能做到這樣,也不用搞 mail 了,
賣 anti spam 就很多人搶著要了, 所以我覺得 90% 絕對是不可能的

而病毒邮件，95%符合行为不规范的范围，所以我说ANTI-SPAM搞的好，ANTI-VIRUS就没有什么负担。

這句話我不懂你的意思,不過就如前言,你 90% 的 spam 在 data 前可以檔掉的依據為何呢 ?
最多也不過是 ehlo , mail from,rcpt to , hostname 這幾種來認,但單單這三個檢查如何 90% !??

凡是将进入邮件先ANTI-VIRUS，再ANTI-SPAM的邮件GATEWAY，（XXX-WALL）等东西（有的是商业的，我不说名字了），一律都不好用。扔掉吧。

這個我個人並沒有用過,但若你的說法套用在樓主的狀況,你能檔掉 90% 嗎 ?
如果不行,這信又進了 anti virus 不是雙重處理嗎 ?

作者: 思一克 时间: 2005-11-25 14:08
这个帖子有代表性：
一个安装配置正常的SERVER在遇到病毒，垃圾发作时期可能是十分脆弱的。由此引起的许多讨论对构建安全可靠的SERVER有思考或许借鉴意义。希望各位继续跟贴讨论。

我TOP IT。

作者: abel 时间: 2005-11-25 14:13
90% ?

作者: 思一克 时间: 2005-11-25 14:15
To abel,

怎么不可能。不止90%。
你想想，发病毒的是什么东西（前2天），不都是ROUTER IP吗或是上网的单机吗？是MAIL SERVER吗，不是。
你的ANTI-SPAM连这也判断不出来？如果判断出了，99。9%都拒绝了。

我昨天收到7000封那破东西，仅仅过来了3个。你看百分之多少？

作者: abel 时间: 2005-11-25 14:30
你看清楚了自己的說法和我的疑問 ?
我問的是 anti-spam 如何到 90% ?
你所做的也不過是對這個 virus from ip 做處理而以, 這和 spam 有什麼關係 ?

ROUTER IP ? 我看不懂
另外,我不知道這個病毒的行為, 如果這個 Virus 是單機發作,而不透過 smtp 去 relay 你這樣做對每個
connection 都要去反向連接,以驗證他有沒有開 smtp port ? 沒有就檔掉的的狀況 ?

我從不用 connection 階段就 deny 的做法,今天你檔掉了 1000 封 spam 沒有人會感激你,
但你檔掉了一個商業上的機會,讓公司承受損失,恐怕除了有罪外,沒有人會感謝你過去的功勞
任何的 anti spam 應該存在補救之道! 不是拒絕連接

作者: 思一克 时间: 2005-11-25 14:40
To abel,

这个帖子一开始就是说2天来发作病毒。我说的是90%以上的病毒邮件被ANTI-SPAM拒绝了。而不用ANTI-VIRUS了。

我不是说90%的SPAM被怎么了。
不包含病毒的SPAM邮件比病毒当然更不容易对付。

作者: abel 时间: 2005-11-25 14:48

不包含病毒的SPAM邮件比病毒当然更不容易对付。

所以,您還認為 anti spam 先做,後做 anti virus ?
檔掉 ip 這種做法只是 access control , 不能完全視為 anti spam, 或 anti virus

至於其他問題不是重點,就讓它過去吧

作者: 思一克 时间: 2005-11-25 14:53
不仅仅挡掉IP那么简单。
总之anti-spam主要不是SCAN CONTENT。而是在这之前做行为判断。否则你的SERVER一定会被ANTI-VIRUS， SA等搞的“阵亡”。问题是，“阵亡”是不值得的，是因为战略错误导致的。

作者: abel 时间: 2005-11-25 14:58

原帖由 思一克 于 2005-11-25 14:53 发表
不仅仅挡掉IP那么简单。
总之anti-spam主要不是SCAN CONTENT。而是在这之前做行为判断。否则你的SERVER一定会被ANTI-VIRUS， SA等搞的“阵亡”。问题是，“阵亡”是不值得的，是因为战略错误导致的。

如果您的回答是這樣的話,我感覺不到什麼重點
從很前面之前就常不感覺到重點,這樣的討論沒有什麼意義吧

作者: 枫影谁用了 时间: 2005-11-25 15:30

原帖由 abel 于 2005-11-25 14:07 发表

這個我個人並沒有用過,但若你的說法套用在樓主的狀況,你能檔掉 90% 嗎 ?
如果不行,這信又進了 anti virus 不是雙重處理嗎 ?

我想版主的意思是说我们这次收到的攻击而言吧。
这次的攻击，确实如此anti-spam的确可以过滤掉这次百分之九十以上的电邮。
像这样的攻击,anti virus 好像占用的资源更严重，服务器更容易挂掉。

作者: 思一克 时间: 2005-11-25 15:37
ROUTER IP 就是路由器的IP地址，而不是MAIL SERVER本身的IP

作者: 枫影谁用了 时间: 2005-11-25 15:40

原帖由 abel 于 2005-11-25 14:30 发表
我從不用 connection 階段就 deny 的做法,今天你檔掉了 1000 封 spam 沒有人會感激你,
但你檔掉了一個商業上的機會,讓公司承受損失,恐怕除了有罪外,沒有人會感謝你過去的功勞

确实如此，但是在脆弱的mail服务器收到攻击的时候，anti spam应该更容易做到补救。

但是一个正常的服务器我想也应该像able说的那样。

作者: 枫影谁用了 时间: 2005-11-25 15:48
先做 anti spam 还是后做 anti virus,小弟有几个看法：

1.当一个mail服务器收到大量病毒攻击的时候，如果先做anti virus，那么就台服务器有可能即时间倒下。比如昨天的攻击，如果先做anti virus,他的效率几乎为零。但如果先做anti spam的话，却可以轻松的挡掉这次攻击。

2.又如abel所说，

我從不用 connection 階段就 deny 的做法,今天你檔掉了 1000 封 spam 沒有人會感激你,
但你檔掉了一個商業上的機會,讓公司承受損失,恐怕除了有罪外,沒有人會感謝你過去的功勞

这个是终对正常的服务器来说的吧。

作者: youguhanqin 时间: 2005-11-25 16:41
几位用的anti virus是什么软件啊？

作者: 枫影谁用了 时间: 2005-11-25 16:48

原帖由 youguhanqin 于 2005-11-25 16:41 发表
几位用的anti virus是什么软件啊？

就经验而言，不管是什么新生的病毒,
anti virus都效果都不好。事实是如此，是先有病毒后有杀毒软件。

作者: 思一克 时间: 2005-11-25 16:52
To Abel,

这是两害相全区其轻的问题。是让SERVER 阵亡还是误挡了一个邮件的问题。
再说，看看一些大的公司ANTI-SPAM做的好的SERVER阻挡是正常的配置。

Abel,我大概知道你说“阵亡”的含义了。

"我從不用 connection 階段就 deny 的做法,今天你檔掉了 1000 封 spam 沒有人會感激你,
但你檔掉了一個商業上的機會,讓公司承受損失,恐怕除了有罪外,沒有人會感謝你過去的功勞
任何的 anti spam 應該存在補救之道! 不是拒絕連接"

作者: scyzxp 时间: 2005-11-26 06:32
我的没有收到哈哈，可能我比较幸运哈！

作者: skylove 时间: 2005-11-26 15:26
关注,这样的问题的确比较有参考价值.

able先生的做法想来应该是把anti-irus,anti-spam 分开到了不同机器上的做法吧????

作者: 枫影谁用了 时间: 2005-11-26 17:08
郁闷啦~~现在没有收到有啥病毒邮件了。。可是我发现cpu占用率比以前高了很多，却又找不到是那个进程占的。
用top看不到，用netstat也没有发现异样的连接，ps aux也无发现异样的进程。开始我以为是我的mail服务器给别人攻下了，成为了中转站，可是我这两天一直在看maillog也没有现有记录。

服务器终端一直报这样的错误

Message from syslogd@localhost at Sat Nov 26 08:37:28 2005 ...
localhost kernel: CPU0: Running in modulated clock mode

Message from syslogd@localhost at Sat Nov 26 08:37:33 2005 ...
localhost kernel: CPU1: Temperature above threshold

Message from syslogd@localhost at Sat Nov 26 08:37:33 2005 ...
localhost kernel: CPU0: Temperature above threshold

但是我可以确定cpu没有发热.

看下面的图，我的可是p42.6双cpu啊~~

gqraph_image.php.png (7.28 KB, 下载次数: 59)

graph_image.php.png (5.33 KB, 下载次数: 59)

作者: ilovecr 时间: 2005-11-27 20:29
先做 anti spam 还是后做 anti virus,小弟有几个看法：

1.当一个mail服务器收到大量病毒攻击的时候，如果先做anti virus，那么就台服务器有可能即时间倒下。比如昨天的攻击，如果先做anti virus,他的效率几乎为零。但如果先做anti spam的话，却可以轻松的挡掉这次攻击。

   为什么会倒下？？你有什么证据？？
   理论上，anti spam更加耗费资源。
   虽然我的clamav  资源占用率比较高。


2.又如abel所说，

QUOTE:
我從不用 connection 階段就 deny 的做法,今天你檔掉了 1000 封 spam 沒有人會感激你,
但你檔掉了一個商業上的機會,讓公司承受損失,恐怕除了有罪外,沒有人會感謝你過去的功勞
。。。
正解。

作者: ilovecr 时间: 2005-11-27 20:32

原帖由 思一克 于 2005-11-25 16:52 发表
To Abel,

这是两害相全区其轻的问题。是让SERVER 阵亡还是误挡了一个邮件的问题。
再说，看看一些大的公司ANTI-SPAM做的好的SERVER阻挡是正常的配置。

Abel,我大概知道你说“阵亡”的含义了。

" ...

你认为anti-spam这个时候是减小阵亡的最好办法？？
仔细想想 abel的话吧。

作者: ilovecr 时间: 2005-11-27 20:35

原帖由 思一克 于 2005-11-25 14:15 发表
To abel,

怎么不可能。不止90%。
你想想，发病毒的是什么东西（前2天），不都是ROUTER IP吗或是上网的单机吗？是MAIL SERVER吗，不是。
你的ANTI-SPAM连这也判断不出来？如果判断出了，99。9%都拒绝了。

...

拜托，，

严格的说，病毒也是垃圾邮件。但病毒特征很明显，一般的操作会直接杀掉。
而后进行anti spam 处理。因为spam 的识别，判断，打分，会难的多。。

作者: ilovecr 时间: 2005-11-27 20:36

原帖由 我菜我怕谁 于 2005-11-24 14:11 发表

不会吧...

不会？？？
你看看自家的log
maillog,就知道了。（禁止反解的除外）

作者: ilovecr 时间: 2005-11-27 20:38
大家有时间可以研究一下
mailscanner or amavis的处理流程。

作者: kinux 时间: 2005-11-27 23:25
唉, 今天在家里, 以为公司少人用邮件, 可以升级一下clamav, 在rpmbuild时看到

Message from syslogd@localhost at Sat Nov 26 08:37:28 2005 ...
localhost kernel: CPU0: Running in modulated clock mode

Message from syslogd@localhost at Sat Nov 26 08:37:33 2005 ...
localhost kernel: CPU1: Temperature above threshold

Message from syslogd@localhost at Sat Nov 26 08:37:33 2005 ...
localhost kernel: CPU0: Temperature above threshold

之后不安裝了, 一不小心死了那要回公司搞.. 汗!!!

作者: terry8416 时间: 2005-11-28 11:09
邮件炸弹WORM_MYTOB……可以通过邮件网关设置策略过滤，更新防病毒软件的病毒码也可以吧

作者: 思一克 时间: 2005-11-28 12:29
一个"从不在CONNECTION阶段DENY邮件“的SERVER的反垃圾邮件能力将会十分有限。

可想而知，那将有多少（超过好邮件多少倍）垃圾邮件需要SERVER收下在处理呀？
SERVER不忙才怪。忙的还十分不值得。

作者: 枫影谁用了 时间: 2005-11-28 18:45

原帖由 ilovecr 于 2005-11-27 20:38 发表
大家有时间可以研究一下
mailscanner or amavis的处理流程。

看来你对这方面很了解，，给我们来个介绍怎么样？

比如mail服务器的负载流程。。等。。。

谢谢

作者: kinux 时间: 2005-11-28 21:09

原帖由 思一克 于 2005-11-28 12:29 发表
一个"从不在CONNECTION阶段DENY邮件“的SERVER的反垃圾邮件能力将会十分有限。

可想而知，那将有多少（超过好邮件多少倍）垃圾邮件需要SERVER收下在处理呀？
SERVER不忙才怪。忙的还十分不值得。

唉..
以前很少用linux, 对iptables不熟..
看来又要啃啃文件了..

作者: 思一克 时间: 2005-11-29 08:45
To ilovecr,

你千万不要认为ANTI-SPAM就是内容扫描（如Abel 说的）。内容检查仅仅ANTI-SPAM的一部分，有的时候甚至是一小部分。你说的ANIT-VIRUS 在前，ANIT-SPAM在后，是根据前面的不正确的假设说的。

Abel说的“他的SERVER从来不在CONNECTION阶段拒绝任何邮件”。如果真是这样，那他的SERVER一定有不小的毛病。你想，一个病毒发作的电脑不断象他的SERVER里发病毒，难道从这个病毒原每一个进入的连接都要等到病毒发进来再查毒？这样SERVER不忙死（Abel叫阵亡）才怪。

作者: abel 时间: 2005-11-29 09:27

Abel说的“他的SERVER从来不在CONNECTION阶段拒绝任何邮件”。如果真是这样，那他的SERVER一定有不小的毛病。你想，一个病毒发作的电脑不断象他的SERVER里发病毒，难道从这个病毒原每一个进入的连接都要等到病毒发进来再查毒？这样SERVER不忙死（Abel叫阵亡）才怪。

我個人認為自己的 Server 並沒有什麼毛病呀 !?
我用 sendmail 基本上只要 Load Average 超過 10 , 他就暫時會不收信,並回應 4xx 給發信端,這樣會有什麼問題?
我也控制連接頻率,同一個 IP 只要一分鐘超過一個或二個就暫不收,回應 4xx, 這樣會有什麼問題 ?
(用 iptables 是笨方法)
我沒有用任何的 anti-virus/anti-spam (不論是 Open Source 或商業的) , 只有自己寫的規則, 五年來
也從未有問題,你認為會有什麼毛病?

我從不因為病毒流行而擔心 Mail Server 吃不下來, 因為根本不用去關心,費神擋 IP,
你覺得這樣的結果比不上你的做法而有毛病 ?

作者: 思一克 时间: 2005-11-29 09:31
To Abel,

你好。高兴你来了。你SERVER无任何ANTI-VIRUS 软件？
那病毒信不进来许多吗？

其它两个设置没有问题。但可以讨论

作者: ilovecr 时间: 2005-11-29 09:56
To ilovecr,

你千万不要认为ANTI-SPAM就是内容扫描（如Abel 说的）。
内容检查仅仅ANTI-SPAM的一部分，
            ~~~~~~~~~~~~~~~~~~
RBL,SPF,RDNS,Bayes算法，Challenge-Response ，Domainkeys、SenderID
？？，现有这些技术中，我看对server 资源占用大的就是内容过滤。
RBL服务运营商维护公共RBLs, 使用单位仅需订阅实时黑名单服务。
RBLs的计算开销非常低，同时它们通常采用一个类似与DNS的协议实施，所以它们的网络开销也非常低。

有的时候甚至是一小部分。
~~~~~~~
?? 一小部分？？  机器资源的主要消耗就在这儿。病毒的判定比spam容易得多，而且可以直接
kill,先spam，你能直接kill?? 病毒就是一种严重危害计算机安全，稳定的运行的垃圾邮件。

你说的ANIT-VIRUS 在前，ANIT-SPAM在后，是根据前面的不正确的假设说的。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
非也，我同意abel的看法。

Abel说的“他的SERVER从来不在CONNECTION阶段拒绝任何邮件”。
如果真是这样，那他的SERVER一定有不小的毛病。
你想，一个病毒发作的电脑不断象他的SERVER里发病毒，
难道从这个病毒原每一个进入的连接都要等到病毒发进来再查毒？这样SERVER不忙死（Abel叫阵亡）才怪。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
这就是一个权衡阿  ：），你直接drop掉了连接，漏掉正常邮件怎么办？我和我的用户可以容忍垃圾邮件，但绝不忍受正常邮件被丢掉，我管的server,宁可漏网，也不错杀。
控制server的连接速率，比拒绝不是更好？？：）。

作者: 思一克 时间: 2005-11-29 10:13
To Ilovecr,

RBL,SPF,RDNS等众多的反垃圾邮件技术都是在连接阶段（就是还没有看到内容之前）拒绝的呀。

Abel 用sendmail, 无任何防病毒软件，做法就是同一个IP每分钟仅仅允许1-2连接，其余连接等待。在加上Load判断再等待。

我想象这样的MAIL SERVER会是如何景象。

作者: ilovecr 时间: 2005-11-29 10:22
To Ilovecr,

RBL,SPF,RDNS等众多的反垃圾邮件技术都是在连接阶段（就是还没有看到内容之前）拒绝的呀。
~~~~~~~~~
君不是考我 anti-spam 么？？  ：）。

Abel 用sendmail, 无任何防病毒软件，做法就是同一个IP每分钟仅仅允许1-2连接，其余连接等待。在加上Load判断再等待。



我想象这样的MAIL SERVER会是如何景象

   见仁见智。

作者: abel 时间: 2005-11-29 11:09
我當然有 anti-vrius , anti-spam 的東西,前面我講到的是 "不用常人常用的軟件"
只是這樣的東西都是自己寫的. 因為這樣發揮空間才大 (當然功夫也多)
而自己寫來只有幾個重要的功能:
1. anti-virus 是公司政策,預設過濾的附件不可修改,可另自訂附件格式
2. user 要能從網頁自訂義條件或選擇要不要做 anti-spam
3. user 做了 anti-spam 而檔掉的信要能出 summary report,不是加 {spam} 或其他的 tag
4. summary report 要能統計各種過濾方法的結果,供 user 判斷
5. 所有 anti-spam 的動做要留有補救空間,如白名單及點選取回
6. 所有的功能要能符合 User friendly 的要件

這是我自己寫的東西,這個結果我能讓公司內每個人都滿意,信不會漏接,
而且在 Server 端就進行分類,被判為 SPAM 的保留十天供 user 取回
(網頁上點選).

==============================
此外,我從不認為 anti-spam 就是內容掃描,思兄自可回頭看看我的說法
只是內容掃描是佔 loading 最重的部份, 和 virus 的 pattern match 不
可同日而語 (幾個人做 anti-spam 不做內容掃描的?)

RBL,SPF,RDNS等众多的反垃圾邮件技术都是在连接阶段（就是还没有看到内容之前）拒绝的呀。

這個東西不見得是連接階段就 deny 的東西,當然也可以設成這樣,但至少 SPF 通常就不會這樣,
像著名的 SA 用這個項目當計分項目,而 SA 最重的 loading 就是在 Bayes算法 , 根據其經驗
法則來評分的,在有內容過濾的狀況下, anti-spam 當第一關肯定是不恰當的,
如果只是因為 RBL 就拒絕連接,這樣的 MTA 反 spam 功能還是遠遠不夠的

Abel 用sendmail, 无任何防病毒软件，做法就是同一个IP每分钟仅仅允许1-2连接，其余连接等待。在加上Load判断再等待。
我想象这样的MAIL SERVER会是如何景象。

你的看法是錯的,我的狀況並不是這樣,sendmail 中我用的方法及技術在這個版上恐怕也沒有機個人懂,我的 MTA 也不檔信,只是在 Local Delivery
時做判斷,在加上前面或以前提到過的,
1. Load Average Control (負載控制)
2. Rate Control (連接控制)
3. MTA 不返回 user unknown (防字典攻擊,猜帳號)
4. RCPT TO 控制 (限制最大收件人數量控制)
5. anti-virus/anti-spam 處理

這樣我會有什麼問題 ? 至少過去五年來一直都沒有問題 !
也從不會說病毒大流行而費過神的.

至於你的 spam 先, virus 後也主要是因為 anti virus 吃不下來, virus pattern 尚未更新,在這
種狀況下的權宜做法,風浪過去了,你多還是會調回來,而我自己什麼都不用做~

[ 本帖最后由 abel 于 2005-11-29 11:11 编辑 ]

作者: 思一克 时间: 2005-11-29 11:16
To Abel,

anti-virus是自己写的? 不是真正的anti-virus吧。

作者: abel 时间: 2005-11-29 11:19

原帖由 思一克 于 2005-11-29 11:16 发表
To Abel,

anti-virus是自己写的? 不是真正的anti-virus吧。

我是自己寫的,自己寫的不算真的 anti-virus ? 別人寫的才算 ?
只要能擋下病毒就夠了,跟誰寫的沒有什麼關係

作者: 思一克 时间: 2005-11-29 11:24
To Abel,

我不是说你写的就不对。而是说ANTI-VIRUS如果是个真正起作用的，要非常大的工作量，要有病毒库，扫描ENGINE。如果不是专业做这东西的，业余从头自己做可能性不大。

再就可能改动已经有的开源软件，如CLAMAV等？

作者: abel 时间: 2005-11-29 11:31
這我當然知道,
我不需要做什麼病毒庫什麼的
只要附件中有可執行檔就檔掉,如此而以
如果是壓縮的就帶一個警語
這沒有什麼困難的,至於壓縮我也可以解出來,有執行檔的就檔掉等等等

作者: angelking96 时间: 2005-11-29 11:41
看得很畅快

一看才知道好多东西我都还不懂，就匆匆忙忙架起了一台邮件服务器

汗颜啊~~~~汗颜

作者: 思一克 时间: 2005-11-29 11:55
To Abel,

所有附件ATTACHMENT都挡掉？
这根本不是ANTI-VIRUS。

原帖由 abel 于 2005-11-29 11:31 发表
這我當然知道,
我不需要做什麼病毒庫什麼的
只要附件中有可執行檔就檔掉,如此而以
如果是壓縮的就帶一個警語
這沒有什麼困難的,至於壓縮我也可以解出來,有執行檔的就檔掉等等等

作者: abel 时间: 2005-11-29 11:59
你看仔細....

"只要附件中有可執行檔就檔掉,如此而以"

作者: 思一克 时间: 2005-11-29 12:04
无论挡掉什么，都不能算是ANTI-VIRUS呀。ANTI-VIRUS是可以分辨出VIRUS挡掉

qmail-scanner, trend anit-spam等各种东西都有这个OPTION。

挡掉可执行ATTACHMENT是正确的。

作者: abel 时间: 2005-11-29 12:20
這是你的定義,
我的看法只要是讓 user 信箱無毒就好,什麼技巧或定義都不重要
我當然也可以讓我的東西去 hook MailScanner ,fport.. 或 Perl 中的一些 module
來 scan 附件的毒碼碼, 但這實在是畫蛇添足

作者: 思一克 时间: 2005-11-29 12:29
To Abel,

不争论了。

顺便问，那比如WORD EXEL文件附件中有病毒，你就不管了。

作者: abel 时间: 2005-11-29 12:31

原帖由 思一克 于 2005-11-29 12:29 发表
To Abel,

不争论了。

顺便问，那比如WORD EXEL文件附件中有病毒，你就不管了。

是的,這個我不管,由個人的防毒軟件管

作者: ilovecr 时间: 2005-11-29 13:37
本来就是在信息传递的各个层面去挡。
所以整个流程合理才是重要的。

作者: 思一克 时间: 2005-11-29 13:44
To ilovecr,

Abel的机器上是没有安装任何防毒软件的。他仅仅用qmail-scanner类似的方式挡了可运行的ATTACHMENT。其它带病毒的附件一律进入用户信箱。

你认为这整个流程是合理的？

Abel, Sorry我不是想和你争论。

原帖由 ilovecr 于 2005-11-29 13:37 发表
本来就是在信息传递的各个层面去挡。
所以整个流程合理才是重要的。

作者: abel 时间: 2005-11-29 13:50

原帖由 思一克 于 2005-11-29 13:44 发表
To ilovecr,

Abel的机器上是没有安装任何防毒软件的。他仅仅用qmail-scanner类似的方式挡了可运行的ATTACHMENT。其它带病毒的附件一律进入用户信箱。

你认为这整个流程是合理的？

Abel, Sorry我不是想和 ...

這個狀況就像是 Broswe 網頁也會中毒 ,
看圖片也會中毒一樣,
所有的 Access point 你都要防,但不可能防得了的,
就像有人因為業務關係,但貴公司做簡報,但是他的 Notebook 中毒了
除非你的網路切開了,並保證內網內每台電腦都更新了 patch
不然還不是處處中毒

作者: 思一克 时间: 2005-11-29 13:55
To Abel,

搞一个免费的防毒软件安上，凭你的水平还不十分简单？

MAIL SERVER上无防毒软件，让病毒附件进入用户信箱，无论怎么说，都说不过去呀。

作者: abel 时间: 2005-11-29 14:12
這我試過,防毒軟件很簡單,沒有什麼困難的,
但實際上我並不需要 !
光看本帖提到的 virus , 你們的 pattern 多久才生效 ?
生效了有沒有用 ? (陣亡,死機,高負載...) ,
局部流行的 virus 會有 pattern 嗎 ?
還不如懶人法,一律都檔掉
其他會影起的毒問題我們本來就是交給個人式的防毒軟件
巨集病毒有他的侷限性,這個我們是不擔心的
如 ilovecr 所說的,從每一個層面去考慮 virus (或 security) 的威脅

作者: ilovecr 时间: 2005-11-29 14:45
1. anti-virus 是公司政策,預設過濾的附件不可修改,可另自訂附件格式
我的感触：公司策略才是重要的，没有政策支持，根本不行。
               在有些环境中，关键是如何与领导沟通。
2. user 要能從網頁自訂義條件或選擇要不要做 anti-spam
我：这个定制功能我做不到。还是要努力。
3. user 做了 anti-spam 而檔掉的信要能出 summary report,不是加 {spam} 或其他的 tag
我：我加{spam},但从smtp 上不kill,，只是培训客户，在MUA上边做filter。
4. summary report 要能統計各種過濾方法的結果,供 user 判斷
我：没有这么高的透明度去面对客户。这跟具体客户有关。

5. 所有 anti-spam 的動做要留有補救空間,如白名單及點選取回
   我：反正不kill.最后一公里（MUA）供用户判断。
6. 所有的功能要能符合 User friendly 的要件

這是我自己寫的東西,這個結果我能讓公司內每個人都滿意,信不會漏接,
而且在 Server 端就進行分類,被判為 SPAM 的保留十天供 user 取回
(網頁上點選).

1、重视与公司同仁的沟通。
2、足够的技术手段。

作者: makeit 时间: 2005-11-29 15:06
病毒關鍵在防,
出事了再想辦法,就晚了,
但亡羊補牢,還是不可少的
我沒用過qmail,但他應該有個郵件過濾的功能吧

作者: yzhkp 时间: 2005-11-30 19:27
在有些环境中，关键是如何与领导沟通。
==========
不是有些，而是所有。

作者: hydcn 时间: 2005-12-02 08:54

原帖由 abel 于 2005-11-29 09:27 发表

我個人認為自己的 Server 並沒有什麼毛病呀 !?
我用 sendmail 基本上只要 Load Average 超過 10 , 他就暫時會不收信,並回應 4xx 給發信端,這樣會有什麼問題?
我也控制連接頻率,同一個 IP 只要一分鐘超過一個或 ...

请问你上述的功能是怎么实现的，能否指点一二？谢谢！

作者: abel 时间: 2005-12-02 09:41

原帖由 hydcn 于 2005-12-2 08:54 发表
请问你上述的功能是怎么实现的，能否指点一二？谢谢！

Load Average control ,sendmail.cf 中找下列資料,

# load average at which we just queue messages
#O QueueLA=12
# load average at which we refuse connections
#O RefuseLA=15
# load average at which we delay connections; 0 means no limit
O DelayLA=10

复制代码

或是看 cf/README

confQUEUE_LA QueueLA [varies] Load average at which
queue-only function kicks in.
Default values is (8 * numproc)
where numproc is the number of
processors online (if that can be
determined).
confREFUSE_LA RefuseLA [varies] Load average at which
incoming SMTP connections are
refused. Default values is (12 *
numproc) where numproc is the
number of processors online (if
that can be determined).
confREJECT_LOG_INTERVAL RejectLogInterval [3h] Log interval when
refusing connections for this long.
confDELAY_LA DelayLA [0] Load average at which sendmail
will sleep for one second on most
SMTP commands and before accepting
connections. 0 means no limit.

复制代码

rate control 要 sendmail 8.13.X 以上的版本才有,
sendmail.mc 中至少要有如下內容:

...前略
# 代表要做
FEATURE(`delay_checks')dnl 做延緩檢查,也就是先不做如 SMTP AUTH check, rbl check 等,先檢查其他條件
FEATURE(`access_db', `hash -T<TMPF> /etc/mail/access') dnl 這個你應該本來就要知道
FEATURE(`ratecontrol', `nodelay', `terminate') dnl 連接頻率設定功能開啟
....後略

复制代码

設定的內容是寫在 access 中,請自參考 sendmail 的 cf/README

ratecontrol Enable simple ruleset to do connection rate control
checking. This requires entries in access_db of the form
ClientRate:IP.ADD.RE.SS LIMIT
The RHS specifies the maximum number of connections
(an integer number) over the time interval defined
by ConnectionRateWindowSize, where 0 means unlimited.
Take the following example:
ClientRate:10.1.2.3 4
ClientRate:127.0.0.1 0
ClientRate: 10
10.1.2.3 can only make up to 4 connections, the
general limit it 10, and 127.0.0.1 can make an unlimited
0;17H
number of connections per ConnectionRateWindowSize.
See also CONNECTION CONTROL.
conncontrol Enable a simple check of the number of incoming SMTP
connections. This requires entries in access_db of the
form
ClientConn:IP.ADD.RE.SS LIMIT
The RHS specifies the maximum number of open connections
(an integer number).
Take the following example:
ClientConn:10.1.2.3 4
ClientConn:127.0.0.1 0
ClientConn: 10
10.1.2.3 can only have up to 4 open connections, the
general limit it 10, and 127.0.0.1 does not have any
explicit limit.
See also CONNECTION CONTROL.

复制代码

作者: hydcn 时间: 2005-12-02 10:18
标题: 回复 97楼 abel 的帖子
我用的是qmail1.03的，有这种设置吗？最近sobert流行，有装杀毒软件，但还是收到很多垃圾邮件（一样的内容，只不过不是病毒邮件）。

作者: abel 时间: 2005-12-02 10:20

原帖由 hydcn 于 2005-12-2 10:18 发表
我用的是qmail1.03的，有这种设置吗？最近sobert流行，有装杀毒软件，但还是收到很多垃圾邮件（一样的内容，只不过不是病毒邮件）。

我不知道 qmail ,你得問懂的人了,
就前面的帖子來看, qmail 是沒有這兩個功能的

作者: hydcn 时间: 2005-12-02 10:27
标题: 回复 99楼 abel 的帖子
abel:谢谢!

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)