免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: 枫影谁用了

[Mail] 大家有沒有收到此病毒郵件?一小時居然有几千封... [复制链接]

论坛徽章:
1
荣誉会员
日期:2011-11-23 16:44:17
发表于 2005-11-25 14:07 |显示全部楼层
原帖由 思一克 于 2005-11-25 13:56 发表
To Abel,

ANTI-SPAM 不只是PATTERN MATCH,甚至主要不是。
先根据连入者行为信息判断(这时还没有CONTENT),就可以将90%的SPAM拒之门外。剩的小部分在PATTERN。


你只要根據 ehlo/mail from/rcpt to/ 就知道是 spam 了 ? 那是不可能有 90% 的,最多我從我的經驗來看
有 40% 就算了不起了, data 以後的都算是 content , 如果你真能做到這樣,也不用搞 mail 了,
賣 anti spam 就很多人搶著要了, 所以我覺得 90% 絕對是不可能的

而病毒邮件,95%符合行为不规范的范围,所以我说ANTI-SPAM搞的好,ANTI-VIRUS就没有什么负担。

這句話我不懂你的意思,不過就如前言,你 90% 的 spam 在 data 前可以檔掉的依據為何呢 ?
最多也不過是  ehlo , mail from,rcpt  to , hostname 這幾種來認,但單單這三個檢查如何 90% !??

凡是将进入邮件先ANTI-VIRUS, 再ANTI-SPAM的 邮件GATEWAY, (XXX-WALL)等东西(有的是商业的,我不说名字了),一律都不好用。扔掉吧。

這個我個人並沒有用過,但若你的說法套用在樓主的狀況,你能檔掉 90% 嗎 ?
如果不行,這信又進了 anti virus 不是雙重處理嗎 ?

论坛徽章:
0
发表于 2005-11-25 14:08 |显示全部楼层
这个帖子有代表性:
一个安装配置正常的SERVER在遇到病毒,垃圾发作时期可能是十分脆弱的。由此引起的许多讨论对构建安全可靠的SERVER有思考或许借鉴意义。希望各位继续跟贴讨论。

我TOP IT。

论坛徽章:
1
荣誉会员
日期:2011-11-23 16:44:17
发表于 2005-11-25 14:13 |显示全部楼层
90% ?

论坛徽章:
0
发表于 2005-11-25 14:15 |显示全部楼层
To abel,

怎么不可能。不止90%。
你想想,发病毒的是什么东西(前2天),不都是ROUTER IP吗或是上网的单机吗?是MAIL SERVER吗,不是。
你的ANTI-SPAM连这也判断不出来? 如果判断出了,99。9%都拒绝了。

我昨天收到7000封那破东西,仅仅过来了3个。你看百分之多少?

论坛徽章:
1
荣誉会员
日期:2011-11-23 16:44:17
发表于 2005-11-25 14:30 |显示全部楼层
你看清楚了自己的說法和我的疑問 ?
我問的是 anti-spam 如何到 90% ?  
你所做的也不過是對這個 virus from ip 做處理而以, 這和 spam 有什麼關係 ?

ROUTER IP ? 我看不懂
另外,我不知道這個病毒的行為, 如果這個 Virus 是單機發作,而不透過 smtp 去 relay 你這樣做對每個
connection 都要去反向連接,以驗證他有沒有開 smtp port ? 沒有就檔掉的的狀況 ?

我從不用 connection 階段就 deny 的做法,今天你檔掉了 1000 封 spam 沒有人會感激你,
但你檔掉了一個商業上的機會,讓公司承受損失,恐怕除了有罪外,沒有人會感謝你過去的功勞
任何的 anti spam 應該存在補救之道! 不是拒絕連接

论坛徽章:
0
发表于 2005-11-25 14:40 |显示全部楼层
To abel,

这个帖子一开始就是说2天来发作病毒。我说的是90%以上的病毒邮件被ANTI-SPAM拒绝了。而不用ANTI-VIRUS了。

我不是说90%的SPAM被怎么了。
不包含病毒的SPAM邮件比病毒当然更不容易对付。

论坛徽章:
1
荣誉会员
日期:2011-11-23 16:44:17
发表于 2005-11-25 14:48 |显示全部楼层
不包含病毒的SPAM邮件比病毒当然更不容易对付。

所以,您還認為 anti spam 先做,後做 anti virus ?
檔掉 ip 這種做法只是 access control , 不能完全視為 anti spam, 或 anti virus

至於其他問題不是重點,就讓它過去吧

论坛徽章:
0
发表于 2005-11-25 14:53 |显示全部楼层
不仅仅挡掉IP那么简单。
总之anti-spam主要不是SCAN CONTENT。而是在这之前做行为判断。否则你的SERVER一定会被ANTI-VIRUS, SA等搞的“阵亡”。问题是,“阵亡”是不值得的,是因为战略错误导致的。

论坛徽章:
1
荣誉会员
日期:2011-11-23 16:44:17
发表于 2005-11-25 14:58 |显示全部楼层
原帖由 思一克 于 2005-11-25 14:53 发表
不仅仅挡掉IP那么简单。
总之anti-spam主要不是SCAN CONTENT。而是在这之前做行为判断。否则你的SERVER一定会被ANTI-VIRUS, SA等搞的“阵亡”。问题是,“阵亡”是不值得的,是因为战略错误导致的。

如果您的回答是這樣的話,我感覺不到什麼重點
從很前面之前就常不感覺到重點,這樣的討論沒有什麼意義吧

论坛徽章:
1
白银圣斗士
日期:2015-11-23 08:33:04
发表于 2005-11-25 15:30 |显示全部楼层
原帖由 abel 于 2005-11-25 14:07 发表

這個我個人並沒有用過,但若你的說法套用在樓主的狀況,你能檔掉 90% 嗎 ?
如果不行,這信又進了 anti virus 不是雙重處理嗎 ?


我想版主的意思是说我们这次收到的攻击而言吧。
这次的攻击,确实如此anti-spam的确可以过滤掉这次百分之九十以上的电邮。
像这样的攻击,anti virus 好像占用的资源更严重,服务器更容易挂掉。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP