大家有沒有收到此病毒郵件?一小時居然有几千封...

ilovecr

拜托，。。
   先杀毒。在anti-spam.
   你这个流程。。比较特殊。

原帖由 思一克 于 2005-11-24 14:07 发表
To Abel,

不会阵亡的. 我的SERVER们就是单机上的ANTI-VIRUS.

如果ANTI-SPAM等做的好,ANTI-VIRUS几乎没有什么事做. 每天扫出的VIRUS不超过10个,而进入的SMTP连接有数万,到10万(我没有精确统计)

ilovecr

先做 anti spam 还是后做 anti virus,小弟有几个看法：

1.当一个mail服务器收到大量病毒攻击的时候，如果先做anti virus，那么就台服务器有可能即时间倒下。比如昨天的攻击，如果先做anti virus,他的效率几乎为零。但如果先做anti spam的话，却可以轻松的挡掉这次攻击。
  
     为什么会倒下？？ 你有什么证据 ？？
     理论上，anti spam更加耗费资源。
     虽然我的clamav  资源占用率比较高。
     

2.又如abel所说，


QUOTE:
我從不用 connection 階段就 deny 的做法,今天你檔掉了 1000 封 spam 沒有人會感激你,
但你檔掉了一個商業上的機會,讓公司承受損失,恐怕除了有罪外,沒有人會感謝你過去的功勞
   。。。
   正解。

ilovecr

原帖由 思一克 于 2005-11-25 16:52 发表
To Abel,

这是两害相全区其轻的问题。是让SERVER 阵亡还是误挡了一个邮件的问题。
再说，看看一些大的公司ANTI-SPAM做的好的SERVER阻挡是正常的配置。

Abel,我大概知道你说“阵亡”的含义了。


" ...

    你认为anti-spam这个时候是减小 阵亡的最好办法 ？？
   仔细想想 abel的话吧。

ilovecr

原帖由 思一克 于 2005-11-25 14:15 发表
To abel,

怎么不可能。不止90%。
你想想，发病毒的是什么东西（前2天），不都是ROUTER IP吗或是上网的单机吗？是MAIL SERVER吗，不是。
你的ANTI-SPAM连这也判断不出来？ 如果判断出了，99。9%都拒绝了。

...

   拜托，，

  严格的说，病毒也是垃圾邮件。但病毒特征很明显，一般的操作会直接杀掉。
  而后进行anti spam 处理。因为spam 的识别，判断，打分，会难的多。。

ilovecr

原帖由 我菜我怕谁 于 2005-11-24 14:11 发表

不会吧...

  不会？？？
   你 看看自家的log
     maillog,就知道了。（禁止反解的除外）

ilovecr

大家有时间可以研究一下
   mailscanner or amavis的处理流程。

ilovecr

To ilovecr,

你千万不要认为ANTI-SPAM就是内容扫描（如Abel 说的）。
内容检查仅仅ANTI-SPAM的一部分，
              ~~~~~~~~~~~~~~~~~~
RBL,SPF,RDNS,Bayes算法，Challenge-Response ，Domainkeys、SenderID
？？，现有这些技术中，我看对server 资源占用大的就是 内容过滤。
RBL服务运营商维护公共RBLs, 使用单位仅需订阅实时黑名单服务。
RBLs的计算开销非常低，同时它们通常采用一个类似与DNS的协议实施，所以它们的网络开销也非常低。


有的时候甚至是一小部分。
~~~~~~~
   ?? 一小部分？？  机器资源的主要消耗就在这儿。病毒的判定比spam容易得多，而且可以直接
   kill,先spam，你能直接kill?? 病毒就是一种严重危害计算机安全，稳定的运行的垃圾邮件。

你说的ANIT-VIRUS 在前，ANIT-SPAM在后，是根据前面的不正确的假设说的。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   非也，我同意abel的看法。

Abel说的“他的SERVER从来不在CONNECTION阶段拒绝任何邮件”。
如果真是这样，那他的SERVER一定有不小的毛病。
你想，一个病毒发作的电脑不断象他的SERVER里发病毒，
难道从这个病毒原每一个进入的连接都要等到病毒发进来再查毒？这样SERVER不忙死（Abel叫阵亡）才怪。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
这就是一个权衡阿  ：），你直接drop掉了连接，漏掉正常邮件怎么办？我和我的用户可以容忍垃圾邮件，但绝不忍受正常邮件被丢掉，我管的server,宁可漏网，也不错杀。
控制server的连接速率，比拒绝 不是更好？？：）。

ilovecr

To Ilovecr,

RBL,SPF,RDNS等众多的反垃圾邮件技术都是在连接阶段（就是还没有看到内容之前）拒绝的呀。
~~~~~~~~~
   君不是考我 anti-spam 么？？  ：）。
  
Abel 用sendmail, 无任何防病毒软件，做法就是同一个IP每分钟仅仅允许1-2连接，其余连接等待。在加上Load判断再等待。

  

我想象这样的MAIL SERVER会是如何景象

      见仁见智。

ilovecr

本来就是在 信息传递的各个层面去挡。
      所以整个流程合理才是重要的。

ilovecr

1. anti-virus 是公司政策,預設過濾的附件不可修改,可另自訂附件格式
    我的感触：公司策略才是重要的，没有政策支持，根本不行。
                  在有些环境中，关键是如何与领导沟通。
2. user 要能從網頁自訂義條件或選擇要不要做 anti-spam  
    我：这个定制功能我做不到。还是要努力。
3. user 做了 anti-spam 而檔掉的信要能出 summary report,不是加 {spam} 或其他的 tag
    我：我加{spam},但从smtp 上不kill,，只是培训客户，在MUA上边做filter。
4. summary report 要能統計各種過濾方法的結果,供 user 判斷
    我：没有这么高的透明度去面对客户。这跟具体客户有关。

5. 所有 anti-spam 的動做要留有補救空間,如白名單及點選取回
     我：反正不kill.最后一公里（MUA）供用户判断。
6. 所有的功能要能符合 User friendly 的要件
     
這是我自己寫的東西,這個結果我能讓公司內每個人都滿意,信不會漏接,
而且在 Server 端就進行分類,被判為 SPAM 的保留十天供 user 取回
(網頁上點選).

    1、重视与公司同仁的沟通。
    2、足够的技术手段。