大家有沒有收到此病毒郵件?一小時居然有几千封...

abel

Abel说的“他的SERVER从来不在CONNECTION阶段拒绝任何邮件”。如果真是这样，那他的SERVER一定有不小的毛病。你想，一个病毒发作的电脑不断象他的SERVER里发病毒，难道从这个病毒原每一个进入的连接都要等到病毒发进来再查毒？这样SERVER不忙死（Abel叫阵亡）才怪。

我個人認為自己的 Server 並沒有什麼毛病呀 !?
我用 sendmail 基本上只要 Load Average 超過 10 , 他就暫時會不收信,並回應 4xx 給發信端,這樣會有什麼問題?
我也控制連接頻率,同一個 IP 只要一分鐘超過一個或二個就暫不收,回應 4xx, 這樣會有什麼問題 ?
(用 iptables 是笨方法)
我沒有用任何的 anti-virus/anti-spam (不論是 Open Source 或商業的) , 只有自己寫的規則, 五年來
也從未有問題,你認為會有什麼毛病?

我從不因為病毒流行而擔心 Mail Server 吃不下來, 因為根本不用去關心,費神擋 IP,
你覺得這樣的結果比不上你的做法而有毛病 ?

思一克

To Abel,

你好。高兴你来了。你SERVER无任何ANTI-VIRUS 软件？
那病毒信不进来许多吗？

其它两个设置没有问题。但可以讨论

ilovecr

To ilovecr,

你千万不要认为ANTI-SPAM就是内容扫描（如Abel 说的）。
内容检查仅仅ANTI-SPAM的一部分，
              ~~~~~~~~~~~~~~~~~~
RBL,SPF,RDNS,Bayes算法，Challenge-Response ，Domainkeys、SenderID
？？，现有这些技术中，我看对server 资源占用大的就是 内容过滤。
RBL服务运营商维护公共RBLs, 使用单位仅需订阅实时黑名单服务。
RBLs的计算开销非常低，同时它们通常采用一个类似与DNS的协议实施，所以它们的网络开销也非常低。


有的时候甚至是一小部分。
~~~~~~~
   ?? 一小部分？？  机器资源的主要消耗就在这儿。病毒的判定比spam容易得多，而且可以直接
   kill,先spam，你能直接kill?? 病毒就是一种严重危害计算机安全，稳定的运行的垃圾邮件。

你说的ANIT-VIRUS 在前，ANIT-SPAM在后，是根据前面的不正确的假设说的。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   非也，我同意abel的看法。

Abel说的“他的SERVER从来不在CONNECTION阶段拒绝任何邮件”。
如果真是这样，那他的SERVER一定有不小的毛病。
你想，一个病毒发作的电脑不断象他的SERVER里发病毒，
难道从这个病毒原每一个进入的连接都要等到病毒发进来再查毒？这样SERVER不忙死（Abel叫阵亡）才怪。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
这就是一个权衡阿  ：），你直接drop掉了连接，漏掉正常邮件怎么办？我和我的用户可以容忍垃圾邮件，但绝不忍受正常邮件被丢掉，我管的server,宁可漏网，也不错杀。
控制server的连接速率，比拒绝 不是更好？？：）。

思一克

To Ilovecr,

RBL,SPF,RDNS等众多的反垃圾邮件技术都是在连接阶段（就是还没有看到内容之前）拒绝的呀。

Abel 用sendmail, 无任何防病毒软件，做法就是同一个IP每分钟仅仅允许1-2连接，其余连接等待。在加上Load判断再等待。

我想象这样的MAIL SERVER会是如何景象。

ilovecr

To Ilovecr,

RBL,SPF,RDNS等众多的反垃圾邮件技术都是在连接阶段（就是还没有看到内容之前）拒绝的呀。
~~~~~~~~~
   君不是考我 anti-spam 么？？  ：）。
  
Abel 用sendmail, 无任何防病毒软件，做法就是同一个IP每分钟仅仅允许1-2连接，其余连接等待。在加上Load判断再等待。

  

我想象这样的MAIL SERVER会是如何景象

      见仁见智。

abel

我當然有 anti-vrius , anti-spam 的東西,前面我講到的是 "不用常人常用的軟件"
只是這樣的東西都是自己寫的. 因為這樣發揮空間才大 (當然功夫也多)
而自己寫來只有幾個重要的功能:
1. anti-virus 是公司政策,預設過濾的附件不可修改,可另自訂附件格式
2. user 要能從網頁自訂義條件或選擇要不要做 anti-spam  
3. user 做了 anti-spam 而檔掉的信要能出 summary report,不是加 {spam} 或其他的 tag
4. summary report 要能統計各種過濾方法的結果,供 user 判斷
5. 所有 anti-spam 的動做要留有補救空間,如白名單及點選取回
6. 所有的功能要能符合 User friendly 的要件

這是我自己寫的東西,這個結果我能讓公司內每個人都滿意,信不會漏接,
而且在 Server 端就進行分類,被判為 SPAM 的保留十天供 user 取回
(網頁上點選).





==============================
此外,我從不認為 anti-spam 就是內容掃描,思兄自可回頭看看我的說法
只是內容掃描是佔 loading 最重的部份, 和 virus 的 pattern match 不
可同日而語 (幾個人做 anti-spam 不做內容掃描的?)

RBL,SPF,RDNS等众多的反垃圾邮件技术都是在连接阶段（就是还没有看到内容之前）拒绝的呀。

這個東西不見得是連接階段就 deny 的東西,當然也可以設成這樣,但至少 SPF 通常就不會這樣,
像著名的 SA 用這個項目當計分項目,而 SA 最重的 loading 就是在 Bayes算法 , 根據其經驗
法則來評分的,在有內容過濾的狀況下, anti-spam 當第一關肯定是不恰當的,
如果只是因為 RBL 就拒絕連接,這樣的 MTA 反 spam 功能還是遠遠不夠的

Abel 用sendmail, 无任何防病毒软件，做法就是同一个IP每分钟仅仅允许1-2连接，其余连接等待。在加上Load判断再等待。
我想象这样的MAIL SERVER会是如何景象。

你的看法是錯的,我的狀況並不是這樣,sendmail 中我用的方法及技術在這個版上恐怕也沒有機個人懂,我的 MTA 也不檔信,只是在 Local Delivery
時做判斷,在加上前面或以前提到過的,
1. Load Average Control (負載控制)
2. Rate Control  (連接控制)
3. MTA 不返回 user unknown (防字典攻擊,猜帳號)
4. RCPT TO 控制 (限制最大收件人數量控制)
5. anti-virus/anti-spam 處理

這樣我會有什麼問題 ? 至少過去五年來一直都沒有問題 !
也從不會說病毒大流行而費過神的.

至於你的 spam 先, virus 後也主要是因為 anti virus 吃不下來, virus pattern 尚未更新,在這
種狀況下的權宜做法,風浪過去了,你多還是會調回來,而我自己什麼都不用做~

[ 本帖最后由 abel 于 2005-11-29 11:11 编辑 ]

思一克

To Abel,

anti-virus是自己写的? 不是真正的anti-virus吧。

abel

原帖由 思一克 于 2005-11-29 11:16 发表
To Abel,

anti-virus是自己写的? 不是真正的anti-virus吧。

我是自己寫的,自己寫的不算真的 anti-virus ? 別人寫的才算 ?
只要能擋下病毒就夠了,跟誰寫的沒有什麼關係

思一克

To Abel,

我不是说你写的就不对。而是说ANTI-VIRUS如果是个真正起作用的，要非常大的工作量，要有病毒库，扫描ENGINE。如果不是专业做这东西的，业余从头自己做可能性不大。

再就可能改动已经有的开源软件，如CLAMAV等？

abel

這我當然知道,
我不需要做什麼病毒庫什麼的
只要附件中有可執行檔就檔掉,如此而以
如果是 壓縮的就帶一個警語
這沒有什麼困難的,至於壓縮我也可以解出來,有執行檔的就檔掉等等等