broker

Подключение к Trend Micro Network Reputation Services

В этой теме 92 сообщений

Все же, как подключиться к платному сервису RBL - Trend Micro Network Reputation Services?

[прим. Сергей Ильин: сообщение было выделено в отдельную тему]

Trend Micro Network Reputation Services:

- Trend Micro RBL+ Service (verifies the IP addresses against a comprehensive reputation database of known spam sources before spam can be delivered).

- Trend Micro Network Anti-Spam Service (combines the services of RBL+ and Dynamic Real-Time Spam Blocking, ideal for detecting botnet and zombie attacks).

Trend Micro Threat Prevention Network (the driving force behind Network Reputation Services. This global network is operated by highly trained spam investigators who continuously monitor spam, collect spam samples, and carefully review reputation ratings to ensure accuracy).

http://www.trendmicro.com/en/products/nrs/overview.htm

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а это время нервы, время нервы..

К тому же Вы так ещё и не написали, как подключиться к Вашему платному RBl :)

А там же все прозрачно на сайте. Регистрируетесь, говорите какой у вас MTA и 60 дней использования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а это время нервы, время нервы..

К тому же Вы так ещё и не написали, как подключиться к Вашему платному RBl :)

А там же все прозрачно на сайте. Регистрируетесь, говорите какой у вас MTA и 60 дней использования.

О как быстро сюда на перекинули :)))... NAS, штука тупая.. Она у нее нет понятия, свой-чужой, дружественный или не очень.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а как выглядит подключение? линк? ip? url ???? dns сервера?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а как выглядит подключение? линк? ip? url ???? dns сервера?

Для postfix, например, это настройка в main.cf и создание хеш-файла со строками отлупов.

Для поддерживаемых MTA:

http://www.trendmicro.com/en/products/nrs/...e/configure.htm

Для RBL+ список длиннее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я почему спрашиваю,

потому что подключение в течении 48 часов, а мне сегодня знать надо прицип работы..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Note: Insert your unique valid "activation code" to replace the instructional text example; do not include any dashes.

Configure your Postfix server to use Trend Micro Network Anti-Spam Service DNSBL zones with custom error messages.

1. Add the additional RBL wherever you normally do that.

2. While it's really a client check, it will be located at "smtpd_recipient_restrictions" (as is recommended by many experts) as that is needed if you want to whitelist any recipients (e.g. Postmaster). Putting it as a recipient restriction only affects the timing (after the RCPT TO command), not the effect.

smtpd_recipient_restrictions=

...

reject_rbl_client activationcode.r.mail-abuse.com,

reject_rbl_client activationcode.q.mail-abuse.com,

...

3. Add the command to check for a rbl_reply map.

rbl_reply_maps = hash:/$config_directory/rbl_reply

4. Create the rbl_reply map and "postmap" it.

….add these lines to the rbl_reply file….

rbl_reply: # This file has to be "compiled" with "postmap"…

$ postmap hash:rbl_reply

activationcode.r.mail-abuse.com 550 Service unavailable; $rbl_class [$rbl_what] blocked using Trend Micro RBL+. Please see http://www.mail-abuse.com/cgi-bin/lookup?i...t${rbl_reason?; $rbl_reason}

activationcode.q.mail-abuse.com 450 Service temporarily unavailable; $rbl_class [$rbl_what] blocked using Trend Micro Network Anti-Spam Service. Please see http://www.mail-abuse.com/cgi-bin/lookup?i...t${rbl_reason?; $rbl_reason}

….add these lines to the rbl_reply file….

5. Save and then type 'postmap hash:rbl_reply' to create the hash table.

6. Reload postfix by typing "postfix reload"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ну что я могу сказать..

отвечаю на свой вопрос..

Подключение в виде уникального для ВАС DNS имени сервиса RBL.

Всем спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Следующий вопрос:

Принцип пополнения и проверки доставерности, чем гарантируется 0% ложных срабатываний?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А где код активации взять для пробного использования?

Или надо где-то зарегистрироваться для его получения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот страница регистрации для получения 3-ти дневной триальной версии на Trend Micro RBL+ Service

http://www.trendmicro.com/download/trial/t...vices.asp?id=66

Тоже самое для Network Anti-Spam Service

http://www.trendmicro.com/download/trial/t...vices.asp?id=65

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вот страница регистрации для получения 3-ти дневной триальной версии на Trend Micro RBL+ Service

http://www.trendmicro.com/download/trial/t...vices.asp?id=66

Тоже самое для Network Anti-Spam Service

http://www.trendmicro.com/download/trial/t...vices.asp?id=65

Только там ошибочка не 30 а 60 дней...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Следующий вопрос:

Принцип пополнения и проверки доставерности, чем гарантируется 0% ложных срабатываний?

Это не "вопрос", а "вопросы" :)

В RBL+ четыре базы и для каждой свой принцип пополнения. Для NASS базу пополняет некая автоматика.

Для RBL+ 0% ложных старбатываний гарантируется тем, что за пополнением баз следят 24 часа в сутки специалисты.

Для NASS 0% не гарантируется, но в этом случае отлуп должен быть 450, а это не блокирует почту а только откладывает доставку на некоторое время. Это, если угодно, избирательные graylists получаются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

следят специалисты - это не гарантия..

я имею ввиду случай когда в RBL по объективным признакам попадает IP релея, который стал открытым вследвии вирусной атаки и теперь все абсолютно не спамерские письма проходящие через этот релей улетают в спам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
следят специалисты - это не гарантия..

я имею ввиду случай когда в RBL по объективным признакам попадает IP релея, который стал открытым вследвии вирусной атаки и теперь все абсолютно не спамерские письма проходящие через этот релей улетают в спам.

"гарантия" -- это ваше слово. Я не утверждаю, что RBL "гарантирует" 0% ложных срабатываний.

Хочу заметить, что предложенный вами сценарий лично мне представляется странным, так как я не знаю вирусов, которые заразив компьютер, искали бы установленные MTA и меняли их настройки так, чтобы они становились открытыми релеями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
следят специалисты - это не гарантия..

я имею ввиду случай когда в RBL по объективным признакам попадает IP релея, который стал открытым вследвии вирусной атаки и теперь все абсолютно не спамерские письма проходящие через этот релей улетают в спам.

"гарантия" -- это ваше слово. Я не утверждаю, что RBL "гарантирует" 0% ложных срабатываний.

Хочу заметить, что предложенный вами сценарий лично мне представляется странным, так как я не знаю вирусов, которые заразив компьютер, искали бы установленные MTA и меняли их настройки так, чтобы они становились открытыми релеями.

вам известны понятия open relay или open proxy ?

вы различаете понятие mta и relay?

вы знаете, что для того чтобы на дельфи написать smtp relay требуется в худшем час.

??? :))))) а вообще мне импонирует понятие я не знаю, значит такого нет :)))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
вам известны понятия open relay или open proxy ?

вы различаете понятие mta и relay?

вы знаете, что для того чтобы на дельфи написать smtp relay требуется в худшем час.

??? :))))) а вообще мне импонирует понятие я не знаю, значит такого нет :)))))

Давайте по пунктам

1. Open Relay - это почтовый сервер, который позволяет отправлять письма для внешних пользователей наружу.

2. Open Proxy - это, как правило, HTTP-прокси, который позволяет подключившись к нему извне подключатся через него по любому адресу в Интернете.

3. MTA - Mail Transfer Agent. Почтовый сервер, который умеет принимать почту и отправлять ее дальше. Умение раскладывать по ящикам пользователей и отдавать по pop3/imap4/... не предполагается.

4. Relay - так называют в MTA прием почты.

5. smtp-релей написать не сложно, это означает, что вирус должен подменить собой исходный почтовый сервер. Согласен, что это более простой способ создать открытый релей, но тоже нетривиальный, ведь 25 порт на компьютере уже занят... И все равно не ясно, зачем это может понадобиться. Если машину удалось заразить, то гораздо проще на том же Дельфи написать программку, которая сама рассылает по SMTP спам, а то открытым релеем смогут воспользоваться не только авторы вируса. Это вряд ли входит в их планы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Хочу заметить, что предложенный вами сценарий лично мне представляется странным, так как я не знаю вирусов, которые заразив компьютер, искали бы установленные MTA и меняли их настройки так, чтобы они становились открытыми релеями.

Я думаю теоретически такое все может быть, т.е. потенциально это уязвимый момент. Есть же уже методы маниплирования записями в DNS, что потом используется для фишинга (так называемый фарминг).

Тут можно тоже незаметно менять настройки и использовать результат в корыстных целях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я думаю теоретически такое все может быть, т.е. потенциально это уязвимый момент. Есть же уже методы маниплирования записями в DNS, что потом используется для фишинга (так называемый фарминг).

Тут можно тоже незаметно менять настройки и использовать результат в корыстных целях.

Гипотетически может быть все. Практически мне такие факты не известны. С моей точки зрения это связано с тем, что

1. Почтовые сервера не все под Windows

2. Почтовые сервера (MTA) разные

3. Почтовые сервера продставляют собой малую долю компьютеров в Интерент

Вывод: Для спаммеров, указанный сценарий (вирусом отrрывать релеи), не практичен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

коллеги, вернёмся к сетям зомби машин, и рассмотрим их применение для

1. Опен релея

2. Опен прокси

3. ДДОС атак

4. Просто атак

5. Машин для рассылки спама... стоп.. а теперь коллеги подумаем..

выстроим цепочку..

Важно посмотреть на rfc заголовки писем..

ordb.org

Что такое открытый почтовый релей?

Открытый почтовый сервер (открытый релей) это почтовый сервер, который позволяет проходить через себя почтовым сообщениям, в которых ни получатель, ни автор сообщения не являются локальными пользователями. В этом примере оба и автор и получатель находятся вне локального домена (или, выражаясь технически, локального диапазона IP-адресов). Почтовый сервер - совершенно непричастное третье лицо для этой пересылки. Сообщение вообще не имеет никакого отношения к прохождению сквозь именно этот почтовый сервер. Как работает ORDB

howordbworks.jpg

Вы (пользователь) отсылаете ваше сообщение через ваш сервер исходящей почты. Так называемый SMTP-сервер.

Ваш сервер исходящей почты устанавливает соединение с почтовым сервером получателя, и намеревается передать ваше сообщение получателю.

Принимающий почтовый сервер делает запрос к базе ORDB чтоб узнать, находится ли ваш сервер исходящей почты в списке открытых релеев.

Сервер ORDB отвечает принимающему почтовому серверу, и сообщает, находится ли исходящий сервер в списке.

Если ваш исходящий сервер оказывается в списке открытых релеев, принимающий сервер может отказать в приеме почты от исходящего сервера, ответив ему, что не позволено доставлять вашу почту.

Вы получаете так называемое уведомление о проблеме с доставкой вашей почты в систему назначения.

Почему открытые релеи представляют собой проблему?

Законному использованию почтового сервера (релея) угрожает поток спама (мусорной почты), рассылаемой третьим лицом - спаммером. Нарушение происходит тогда, когда огромное количество почты пересылается через никак не причастный сервер. Большинство таких нарушений производится рассыльщиками мусорной почты - так называемыми спаммерами, которые пытаются анонимно распространить их незапрашиваемую другими почту по всему Интернету.

В прошлом, пересылка почты от третьих лиц имела полезное применение. Сейчас, благодаря спаммерам, открытые почтовые релееи представляют значительную угрозу эффективному использованию электронной почты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

другой пример:

Ваша Компания абсолютно законно рассылает 5000000 однотипных затребованных писем в сутки, некий rbl отсчитав 5000001 довабляет ip адрес почтового сервера вашей Компании в спамеры..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ваша Компания абсолютно законно рассылает 5000000 однотипных затребованных писем в сутки, некий rbl отсчитав 5000001 довабляет ip адрес почтового сервера вашей Компании в спамеры..

Разве автоматом кто-то в rbl попадает?

Я все время был уверен, что для этого нужно, что бы кто-то сообщил/написал держателям rbl, что тот или иной IP - Open Relay.

Поэтому от использование rbl многие отказались - слишком много мусора там, низкая достоверность, быстрое устаревание + проблема зомби машин.

У Trend Micro все хитрее, они обычные, привычный нам rbl докрутили, привратили в некий динамическую, постоянно меняющуюся базу (точнее не они а Kelkea, которую они купили ранее).

И теперь резонно делают на этом деньги. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ещё как попадают, не надо никуда писать, не надо жаловаться..

Вы подключая списки, начинаете потихоньку сдавать всех от кого получаете почту, rbl начинает анализ:

1. Наличие DNS имени

2. Объём почты

3. Самостоятельные тесты на open relay

4. Тест на open proxy.

и т п

от этого столько ошибок.. чистых открытых релеев (по вине админов) осталось ООООЧЕНЬ мало.

Кстати доля спама отсекаемая по признакам rbl до 50%, но и уровень ложных срабатываний приличный..

Поэтому меня удивила уверенность тренд микро.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Ego Dekker
      Год назад программа-вымогатель WannaCryptor.D (также известная как WannaCry и WCrypt) вызвала одни из самых разрушительных последствий в цифровом мире. И хотя сама угроза уже не представляет большой опасности, эксплойт EternalBlue, который вызвал волну распространения, по-прежнему угрожает системам без надлежащей защиты и примененных исправлений. По данным телеметрии ESET, его распространенность в течение последних нескольких месяцев растет, а недавно уровень выявления угрозы превзошел самые высокие показатели 2017 года. EternalBlue использует уязвимость (в Microsoft Security Bulletin MS17-010) реализации протокола Server Message Block (SMB) в устаревшей версии Microsoft. В результате атаки киберпреступники сканируют Интернет на наличие открытых портов SMB, а обнаружив их, запускают код эксплойта. При наличии уязвимости злоумышленники запускают выбранный под жертву компонент. Именно с помощью этого механизма год назад через сеть распространялась угроза WannaCryptor.D. Согласно данным телеметрии ESET, в течение следующих месяцев после пика распространения WannaCryptor количество попыток использовать эксплойт EternalBlue уменьшилась до сотни в день. Однако с сентября прошлого года использование угрозы начало медленно расти, достигнув новых высоких показателей в середине апреля 2018 года. Выявления EternalBlue в течение 2017-2018 годов в соответствии с ESET Live Grid® Стоит отметить, что метод проникновения EternalBlue на компьютеры пользователей не является успешным на устройствах с защитой ESET. Один из нескольких уровней защиты — Модуль защиты сети от атак — блокирует эту угрозу на начальном этапе. Это подтвердилось во время распространения WannaCryptor 12 мая 2017, а также всех предыдущих и последующих атаках киберпреступников. Напомним, эксплойт EternalBlue использовался во многих высокопрофильных кибератаках. Кроме WannaCryptor, эксплойт также применялся во время атаки Diskcoder.C (также известная как Petya, NotPetya и ExPetya) в июне 2017 года, а также программы-вымогателя BadRabbit в 4-м квартале 2017 года. EternalBlue также использовался группой киберпреступников Sednit (также известная как APT28, Fancy Bear и Sofacy) для атак сетей Wi-Fi в европейских отелях. Кроме этого, эксплойт стал одним из механизмов распространения вредоносных программ для майнинга криптовалюты. А совсем недавно EternalBlue был использован для распространения программы-вымогателя Satan. Напомним, эксплойт EternalBlue якобы был похищен из Агентства национальной безопасности (NSA), вероятно, в 2016 году. В Интернет угроза попала 14 апреля 2017 благодаря группе Shadow Brokers. Компания Microsoft опубликовала обновление, которое фиксируют уязвимость SMB 14 марта 2017, но до сих пор в реальной среде есть множество машин без примененных исправлений. Этот эксплойт и все атаки с его использованием показывают важность своевременного применения исправлений, а также потребность в надежном и многоуровневом решении для защиты, которое может заблокировать этот и другие вредоносные инструменты. Пресс-выпуск.
    • Ego Dekker
    • myrl48
      Создать и Оптимизировать сайт лучшей конверсии С чем половиной покупателей, допускающих к покупке продуктов в интернете либо еженедельно и ежемесячно, сайт электронной коммерции должен иметь огромное влияние на вашей нижней строке. Однако недостаточно создать магазин. Важно сделать все возможное, максимизировать конверсии и потенциал онлайн-продаж. Много идет в создание сайта электронной коммерции и получить максимальную отдачу от него. Прежде всего, убедиться он построен на оптимизированной платформе продаж с системой управления контентом, которая упрощает обновление и помогает быстро загружать сайт помимо технических деталей есть много способов, которыми убедиться конвертируете больше посещений сайта в продажи. Имейте красивый, отзывчивый дизайн Дизайн и макет сайта управляют пользовательским опытом, первое впечатление, которое потенциальные клиенты получают от бизнеса. Сайт - современный дизайн с четкими, высококачественными фотографиями, наилучшим образом продемонстрировать продукты и включить прожекторы продукта и призывы к действиям увеличения участия. Адаптивный дизайн больше не является опцией. Это абсолютная необходимость. Сайт должен адаптироваться просмотра на мобильных устройствах, планшетах и настольных компьютерах, обеспечивая плавный, связный опыт ваших посетителей на каждом этапе. Сделать сайт http://sozdat-sait.my1.ru/ продукты легко найти. Независимо от приходят пользователи в магазин просмотра и поиска определенного элемента, не расстраивайте их, заставляя работать на него. Добавление функции поиска поможет клиентам быстро найти именно то ищут, а организация ваших продуктов в логические, вложенные категории сделает просмотр легким. Продукт помещается в несколько категорий, и расширенные фильтры на странице добавлены, помочь вашим посетителям сузить поиск больше. Положите страницы детали продукта работы Максимально высокие качества, одинаковых размеров фото продукта, предлагая функциональность зум, позволить покупателям изучить продукты подробно. Добавьте параметры общего доступа, побудить посетителей распространять информацию о ваших продуктах на сайтах социальных сетей любят покупатели. Потратьте время, написать хорошие описания продуктов. Они четкими и лаконичными. Попробуйте включить маркированные точки, выделить ключевые особенности, не будучи многословным. Страницы сведений о продукте включать призыв к действию, например кнопку "Добавить в корзину", которую легко обнаружить, и ссылку на политику доставки и возврата. Оптимизировать сайт поисковых систем потратив время на поисковой оптимизации (SEO). Для начала, сделать некоторые исследования ключевых слов и планировать стратегию SEO вокруг ключевых слов. Создайте блог, публиковать полезные статьи, связанные с вашими продуктами, и делиться своими сообщениями в социальных сетях, управлять входящим трафиком. Вы узнать больше эффективной стратегии SEO, проверив наш предыдущий пост: Маркетинговая Стратегия онлайн: создайте бизнес, создайте бренд. Видео урок - http://sozdat-sait.my1.ru/blog/kak_povysit_konversii_i_juzabiliti_sajta/2017-11-09-1894
    • fafa
      Знаете в этом деле лучше отталкиваться от правила если есть средства, то лучше заплатить и все! Поэтому незачем что либо выдумывать или зря тратить свое время. Намного проще оплатить и чтобы конкретно сделали сайт под Ваши условия.
    • Ego Dekker
      ESET Cyber Security/ESET Cyber Security Pro были обновлены до версии 6.6.300.