Подключение к Trend Micro Network Reputation Services

[broker 30]

Все же, как подключиться к платному сервису RBL - Trend Micro Network Reputation Services?

[прим. Сергей Ильин: сообщение было выделено в отдельную тему]

Trend Micro Network Reputation Services:

- Trend Micro RBL+ Service (verifies the IP addresses against a comprehensive reputation database of known spam sources before spam can be delivered).

- Trend Micro Network Anti-Spam Service (combines the services of RBL+ and Dynamic Real-Time Spam Blocking, ideal for detecting botnet and zombie attacks).

Trend Micro Threat Prevention Network (the driving force behind Network Reputation Services. This global network is operated by highly trained spam investigators who continuously monitor spam, collect spam samples, and carefully review reputation ratings to ensure accuracy).

http://www.trendmicro.com/en/products/nrs/overview.htm

[Михаил Орешин 70]

а это время нервы, время нервы..

К тому же Вы так ещё и не написали, как подключиться к Вашему платному RBl

А там же все прозрачно на сайте. Регистрируетесь, говорите какой у вас MTA и 60 дней использования.

[Михаил Орешин 70]

а это время нервы, время нервы..

К тому же Вы так ещё и не написали, как подключиться к Вашему платному RBl

А там же все прозрачно на сайте. Регистрируетесь, говорите какой у вас MTA и 60 дней использования.

О как быстро сюда на перекинули ))... NAS, штука тупая.. Она у нее нет понятия, свой-чужой, дружественный или не очень.

[broker 30]

а как выглядит подключение? линк? ip? url ???? dns сервера?

[Михаил Кондрашин 55]

а как выглядит подключение? линк? ip? url ???? dns сервера?

Для postfix, например, это настройка в main.cf и создание хеш-файла со строками отлупов.

Для поддерживаемых MTA:

http://www.trendmicro.com/en/products/nrs/...e/configure.htm

Для RBL+ список длиннее

[broker 30]

Я почему спрашиваю,

потому что подключение в течении 48 часов, а мне сегодня знать надо прицип работы..

[broker 30]

Note: Insert your unique valid "activation code" to replace the instructional text example; do not include any dashes.

Configure your Postfix server to use Trend Micro Network Anti-Spam Service DNSBL zones with custom error messages.

1. Add the additional RBL wherever you normally do that.

2. While it's really a client check, it will be located at "smtpd_recipient_restrictions" (as is recommended by many experts) as that is needed if you want to whitelist any recipients (e.g. Postmaster). Putting it as a recipient restriction only affects the timing (after the RCPT TO command), not the effect.

smtpd_recipient_restrictions=

...

reject_rbl_client activationcode.r.mail-abuse.com,

reject_rbl_client activationcode.q.mail-abuse.com,

...

3. Add the command to check for a rbl_reply map.

rbl_reply_maps = hash:/$config_directory/rbl_reply

4. Create the rbl_reply map and "postmap" it.

….add these lines to the rbl_reply file….

rbl_reply: # This file has to be "compiled" with "postmap"…

$ postmap hash:rbl_reply

activationcode.r.mail-abuse.com 550 Service unavailable; $rbl_class [$rbl_what] blocked using Trend Micro RBL+. Please see http://www.mail-abuse.com/cgi-bin/lookup?i...t${rbl_reason?; $rbl_reason}

activationcode.q.mail-abuse.com 450 Service temporarily unavailable; $rbl_class [$rbl_what] blocked using Trend Micro Network Anti-Spam Service. Please see http://www.mail-abuse.com/cgi-bin/lookup?i...t${rbl_reason?; $rbl_reason}

….add these lines to the rbl_reply file….

5. Save and then type 'postmap hash:rbl_reply' to create the hash table.

6. Reload postfix by typing "postfix reload"

[broker 30]

ну что я могу сказать..

отвечаю на свой вопрос..

Подключение в виде уникального для ВАС DNS имени сервиса RBL.

Всем спасибо.

[broker 30]

Следующий вопрос:

Принцип пополнения и проверки доставерности, чем гарантируется 0% ложных срабатываний?

[Сергей Ильин 1538]

А где код активации взять для пробного использования?

Или надо где-то зарегистрироваться для его получения?

[broker 30]

я в начале темы ссылку давал )))))))))))))

[broker 30]

http://www.trendmicro.com/download/trial/t...vices.asp?id=66

[Сергей Ильин 1538]

Вот страница регистрации для получения 3-ти дневной триальной версии на Trend Micro RBL+ Service

http://www.trendmicro.com/download/trial/t...vices.asp?id=66

Тоже самое для Network Anti-Spam Service

http://www.trendmicro.com/download/trial/t...vices.asp?id=65

[Михаил Орешин 70]

Вот страница регистрации для получения 3-ти дневной триальной версии на Trend Micro RBL+ Service

http://www.trendmicro.com/download/trial/t...vices.asp?id=66

Тоже самое для Network Anti-Spam Service

http://www.trendmicro.com/download/trial/t...vices.asp?id=65

Только там ошибочка не 30 а 60 дней...

[Михаил Кондрашин 55]

Следующий вопрос:

Принцип пополнения и проверки доставерности, чем гарантируется 0% ложных срабатываний?

Это не "вопрос", а "вопросы"

В RBL+ четыре базы и для каждой свой принцип пополнения. Для NASS базу пополняет некая автоматика.

Для RBL+ 0% ложных старбатываний гарантируется тем, что за пополнением баз следят 24 часа в сутки специалисты.

Для NASS 0% не гарантируется, но в этом случае отлуп должен быть 450, а это не блокирует почту а только откладывает доставку на некоторое время. Это, если угодно, избирательные graylists получаются.

[broker 30]

следят специалисты - это не гарантия..

я имею ввиду случай когда в RBL по объективным признакам попадает IP релея, который стал открытым вследвии вирусной атаки и теперь все абсолютно не спамерские письма проходящие через этот релей улетают в спам.

[Михаил Кондрашин 55]

следят специалисты - это не гарантия..

я имею ввиду случай когда в RBL по объективным признакам попадает IP релея, который стал открытым вследвии вирусной атаки и теперь все абсолютно не спамерские письма проходящие через этот релей улетают в спам.

"гарантия" -- это ваше слово. Я не утверждаю, что RBL "гарантирует" 0% ложных срабатываний.

Хочу заметить, что предложенный вами сценарий лично мне представляется странным, так как я не знаю вирусов, которые заразив компьютер, искали бы установленные MTA и меняли их настройки так, чтобы они становились открытыми релеями.

[broker 30]

следят специалисты - это не гарантия..

я имею ввиду случай когда в RBL по объективным признакам попадает IP релея, который стал открытым вследвии вирусной атаки и теперь все абсолютно не спамерские письма проходящие через этот релей улетают в спам.

"гарантия" -- это ваше слово. Я не утверждаю, что RBL "гарантирует" 0% ложных срабатываний.

Хочу заметить, что предложенный вами сценарий лично мне представляется странным, так как я не знаю вирусов, которые заразив компьютер, искали бы установленные MTA и меняли их настройки так, чтобы они становились открытыми релеями.

вам известны понятия open relay или open proxy ?

вы различаете понятие mta и relay?

вы знаете, что для того чтобы на дельфи написать smtp relay требуется в худшем час.

??? )))) а вообще мне импонирует понятие я не знаю, значит такого нет ))))

[Михаил Кондрашин 55]

вам известны понятия open relay или open proxy ?

вы различаете понятие mta и relay?

вы знаете, что для того чтобы на дельфи написать smtp relay требуется в худшем час.

??? )))) а вообще мне импонирует понятие я не знаю, значит такого нет ))))

Давайте по пунктам

1. Open Relay - это почтовый сервер, который позволяет отправлять письма для внешних пользователей наружу.

2. Open Proxy - это, как правило, HTTP-прокси, который позволяет подключившись к нему извне подключатся через него по любому адресу в Интернете.

3. MTA - Mail Transfer Agent. Почтовый сервер, который умеет принимать почту и отправлять ее дальше. Умение раскладывать по ящикам пользователей и отдавать по pop3/imap4/... не предполагается.

4. Relay - так называют в MTA прием почты.

5. smtp-релей написать не сложно, это означает, что вирус должен подменить собой исходный почтовый сервер. Согласен, что это более простой способ создать открытый релей, но тоже нетривиальный, ведь 25 порт на компьютере уже занят... И все равно не ясно, зачем это может понадобиться. Если машину удалось заразить, то гораздо проще на том же Дельфи написать программку, которая сама рассылает по SMTP спам, а то открытым релеем смогут воспользоваться не только авторы вируса. Это вряд ли входит в их планы.

[Сергей Ильин 1538]

Хочу заметить, что предложенный вами сценарий лично мне представляется странным, так как я не знаю вирусов, которые заразив компьютер, искали бы установленные MTA и меняли их настройки так, чтобы они становились открытыми релеями.

Я думаю теоретически такое все может быть, т.е. потенциально это уязвимый момент. Есть же уже методы маниплирования записями в DNS, что потом используется для фишинга (так называемый фарминг).

Тут можно тоже незаметно менять настройки и использовать результат в корыстных целях.

[Михаил Кондрашин 55]

Я думаю теоретически такое все может быть, т.е. потенциально это уязвимый момент. Есть же уже методы маниплирования записями в DNS, что потом используется для фишинга (так называемый фарминг).

Тут можно тоже незаметно менять настройки и использовать результат в корыстных целях.

Гипотетически может быть все. Практически мне такие факты не известны. С моей точки зрения это связано с тем, что

1. Почтовые сервера не все под Windows

2. Почтовые сервера (MTA) разные

3. Почтовые сервера продставляют собой малую долю компьютеров в Интерент

Вывод: Для спаммеров, указанный сценарий (вирусом отrрывать релеи), не практичен.

[broker 30]

коллеги, вернёмся к сетям зомби машин, и рассмотрим их применение для

1. Опен релея

2. Опен прокси

3. ДДОС атак

4. Просто атак

5. Машин для рассылки спама... стоп.. а теперь коллеги подумаем..

выстроим цепочку..

Важно посмотреть на rfc заголовки писем..

ordb.org

Что такое открытый почтовый релей?

Открытый почтовый сервер (открытый релей) это почтовый сервер, который позволяет проходить через себя почтовым сообщениям, в которых ни получатель, ни автор сообщения не являются локальными пользователями. В этом примере оба и автор и получатель находятся вне локального домена (или, выражаясь технически, локального диапазона IP-адресов). Почтовый сервер - совершенно непричастное третье лицо для этой пересылки. Сообщение вообще не имеет никакого отношения к прохождению сквозь именно этот почтовый сервер. Как работает ORDB

Вы (пользователь) отсылаете ваше сообщение через ваш сервер исходящей почты. Так называемый SMTP-сервер.

Ваш сервер исходящей почты устанавливает соединение с почтовым сервером получателя, и намеревается передать ваше сообщение получателю.

Принимающий почтовый сервер делает запрос к базе ORDB чтоб узнать, находится ли ваш сервер исходящей почты в списке открытых релеев.

Сервер ORDB отвечает принимающему почтовому серверу, и сообщает, находится ли исходящий сервер в списке.

Если ваш исходящий сервер оказывается в списке открытых релеев, принимающий сервер может отказать в приеме почты от исходящего сервера, ответив ему, что не позволено доставлять вашу почту.

Вы получаете так называемое уведомление о проблеме с доставкой вашей почты в систему назначения.

Почему открытые релеи представляют собой проблему?

Законному использованию почтового сервера (релея) угрожает поток спама (мусорной почты), рассылаемой третьим лицом - спаммером. Нарушение происходит тогда, когда огромное количество почты пересылается через никак не причастный сервер. Большинство таких нарушений производится рассыльщиками мусорной почты - так называемыми спаммерами, которые пытаются анонимно распространить их незапрашиваемую другими почту по всему Интернету.

В прошлом, пересылка почты от третьих лиц имела полезное применение. Сейчас, благодаря спаммерам, открытые почтовые релееи представляют значительную угрозу эффективному использованию электронной почты.

[broker 30]

другой пример:

Ваша Компания абсолютно законно рассылает 5000000 однотипных затребованных писем в сутки, некий rbl отсчитав 5000001 довабляет ip адрес почтового сервера вашей Компании в спамеры..

[Сергей Ильин 1538]

Ваша Компания абсолютно законно рассылает 5000000 однотипных затребованных писем в сутки, некий rbl отсчитав 5000001 довабляет ip адрес почтового сервера вашей Компании в спамеры..

Разве автоматом кто-то в rbl попадает?

Я все время был уверен, что для этого нужно, что бы кто-то сообщил/написал держателям rbl, что тот или иной IP - Open Relay.

Поэтому от использование rbl многие отказались - слишком много мусора там, низкая достоверность, быстрое устаревание + проблема зомби машин.

У Trend Micro все хитрее, они обычные, привычный нам rbl докрутили, привратили в некий динамическую, постоянно меняющуюся базу (точнее не они а Kelkea, которую они купили ранее).

И теперь резонно делают на этом деньги. :-)

[broker 30]

ещё как попадают, не надо никуда писать, не надо жаловаться..

Вы подключая списки, начинаете потихоньку сдавать всех от кого получаете почту, rbl начинает анализ:

1. Наличие DNS имени

2. Объём почты

3. Самостоятельные тесты на open relay

4. Тест на open proxy.

и т п

от этого столько ошибок.. чистых открытых релеев (по вине админов) осталось ООООЧЕНЬ мало.

Кстати доля спама отсекаемая по признакам rbl до 50%, но и уровень ложных срабатываний приличный..

Поэтому меня удивила уверенность тренд микро.