И пак за спама

Писах преди, че съм попаднал на първия си професионален български спамер. Тоест, браншът със спама се опитва да расте и да се професионализира. Което ме подсеща, че е добре да получи професионален отговор.

Не знам дали моят отговор е професионален. Просто това съм успял да измисля за такива случаи.

Като начало, смятам да се опитам да се свържа с най-големите български доставчици на електронна поща, и да организирам едно събитие, на което да приемем обща антиспам политика. Не го ли направим, спамерите са пъргави – докато се усетим, ще са завзели позиции, от които ще е много по-трудно да ги изстържем. В Австралия вече имат опит със създаването на подобна организация. Имат и резултати – един spammer friendly Интернет доставчик беше притиснат лошо, псува, заплашва, съди организацията, но накрая капитулира и изгони спамерите. И спамът на австралийска почва спадна чувствително.

Организирането на подобно нещо обаче вероятно ще отнеме седмици, а може би и месеци. (И зависи от добрата воля на доставчиците.) Така че междувременно вземам мерки за моя хостинг.

От пуснатия спам обикновено могат да се научат няколко полезни неща:

1. Е-майл адрес на подателя. Спамерите спокойно биха могли да слагат тук случаен адрес (пусканият през ботмрежи спам винаги е такъв). Ако обаче се опитат да го направят, а работят от истински сървъри, както са българските спамери, ще са под удара на закона. Затова засега използвам този адрес (ако имам подозрения, че не е истински, описвам спамера само по другите критерии.)

2. Хост, който изпраща спама. Обикновено хостът се регистрира при обмена като DNS име; логовете на Postfix също пазят и реалния IP адрес, от който е направена заявката. Използвам и двете.

3. Е-майл адрес за обратна връзка към фирмата, която е пуснала спама. Това е особено ключов момент. Привидно той няма общо със самото спамене като техника. На практика обаче спамерите съществуват благодарение на клиентите си – спамерът е извършителят, но клиентът му е подбудителят. Затова вземането на мерки срещу клиента е дори по-важно, отколкото срещу спамера.

(Вярно е, че много клиенти всъщност не знаят, че на спама се гледа зле в Интернет. Но е вярно също и че докато ръководството на фирмата мисли, че това е един чудесен начин за маркетинг, който просто се е зловидял на някой си там, то ще продължи да спами. Единственият начин да разбере, че е в грешка, обикновено е да остане без електронна поща, и с много студен отказ да бъде разблокиран.)

Мерките, които вземам, обикновено са от два типа. Първо, свързвам се с клиентите, поръчали спама, и им обяснявам, че идеята е довела до лоши последствия (пълно блокиране на всичката поща от тях, насочена към моя хостинг). Ако имат нещо против (често се опитват да имат), им обяснявам, че отучването от спама е открай докрай техен проблем, и не разбирам как точно очакват от мен аз да им го разреша. Че с пращането на спама те са се поставили в ролята на рушители на Интернет, и че аз съм не психотерапевт, който се очаква да им помогне да се откажат от лошия начин на мислене, а полицай, на който клиентите му плащат, за да ги охранява от такива като тях. Ако имат още претенции, ги подсещам, че времето ми е пари, и че осъзнаването на грешката им е единствено тяхна задача, и прекратявам разговора.

Ако някой желае да бъде разблокиран, изисквам да подпише декларация, че се задължава да не разпространява повече спам, и че поема финансова отговорност (10 лв. без ДДС) за всяко копие спам, изпратено до е-майл доставчик (например до мен). Декларацията съдържа също текстове, че подписалият я осъзнава, че спамът е недопустима практика, която руши Интернет, и че евентуалните негови плащания ще бъде използвани за подсигуряване на стопроцентовото унищожаване на всеки спам, изпратен от него. Декларацията се заверява нотариално. Разблокирането става, след като получа нотариално заверения оригинал.

(Вероятно процедурата изглежда на повечето хора безсмислено сложна и тежка. И на мен отначало изглеждаше така. С времето обаче се уверих, че много мениджъри ценят думата си колкото носна кърпичка за еднократна употреба. Документалното задължение за поемане на финансова отговорност промени нещата драстично: декларация пращат (и биват разблокирани) само тези, които смятат наистина да я спазят. Останалите обещават, след което продължават да спамят. Откакто въведох тази практика обаче, клиентите на други хостинги ругаят, а моите… дори не разбират. 🙂 )

Втората сфера на контакт са техническите провайдери на спамера. Ако той бълва спам от адрес в голям провайдер на електронна поща, примерно в gmail или yahoo, съобщения от спамера просто се препращат на abuse@съответното.място, и обикновено нещата приключват.

Малко по-сложно е, ако спамерът се е хостнал някъде като цял домейн. Различните хостинг провайдери реагират доста различно. Host.bg например отначало проявиха толерантност към професионалния спамер, за който вече споменах, в смисъл, че първо само го предупреждаваха и вярваха на обещанията му. След поредното нарушено обещание обаче не само блокираха хоста му, но и деактивираха домейна му. Заслужиха си голямото браво от мен.

Други провайдери са по-приятелски настроени към спамерите. Или не им пука, че в техния двор се подвизава източник на миазми, или дори го пазят, защото плаща добре. В такива случаи задължително блокирам и домейна, и IP адреса на спамера (много от тях използват домейни-еднодневки, всеки спам тръгва от различен). Ако спамерът почне да мигрира из IP-тата на диапазона на провайдера, поглеждам в ripe.net точния диапазон, и го блокирам целия. Ако клиентите искат да си кореспондират с някой хостнат в същия провайдер, им обяснявам, че с тази си практика провайдерът скоро ще бъде блокиран отвсякъде, и че най-доброто решение за кореспондента им е да зареже този провайдер навреме.

Разговори със самия спамер не водя никога. Както вече писах по-горе, времето ми е пари, а осъзнаването на грешката му – изцяло негов проблем.

От така описаната твърдичка политика човек би останал с впечатление, че сигурно съм блокирал към момента поне половината свят. Истината обаче е, че спамът е много, но спамерите, особено като IP адреси, са страшно малко. (Имам база от спамове, събрана от саморъчно направени капани. Всичките почти един милион спамове в нея са напускани или от ботмрежи, или от някое от не повече от 200 IP-та. Тоест, спамът в Интернет е страшно много, но spammer-friendly частта на Интернет е съвсем мъничка, и може абсолютно спокойно да бъде блокирана без нежелани последствия.

Проблем с клиенти заради блокирани спамове съм имал само веднъж. Български въздушен превозвач (няма да назова точното име 😉 ) беше решил, че спамът е подходящ начин за маркетинг. След като го блокирах, един от клиентите ни изпищя – имали с тях търговски отношения. За щастие се оказа, че ИТ админите на превозвача също никак не са фенове на спаменето, изискано от маркетинг отдела им. Поех ролята на лошото ченге, и задържах блокировката в течение на два дни. Не съм в течение на подробностите, но доколкото разбрах, маркетинг отделът там се оказал под натиска не само на админите, но и на търговския отдел, и в крайна сметка на ръководството. Резултат: веригата се примоли да ги разблокирам без да попълват нотариална декларация. Реших да рискувам, и се оказа оправдано – до момента не съм получил повече спам от тях.

А сега мъничко техническо описание.

Пощенските ми сървъри използват Postfix. Ето как е организирана анти-български-спам защитата им:

Към момента българските спамери са малко, така че засега описването им става в обикновени текстови файлове за хешване. За в бъдеще описването на българските спамери предвиждам да става в база данни; не само ще ме облекчи, но и ще позволи автоматичното й попълване. Ако успея да уговоря повечето български доставчици на е-майл, вероятно решението ще е такова; освен другото, ще позволи автоматично синхронизиране на базата между провайдерите, и евентуално публичен достъп до нея. Засега обаче спамерите са малко, и ги описвам в стил /etc/postfix/access.

За блокиране на този етап използвам три от нивата на контрол на Postfix, срещу всеки от трите основни елемента информация за спамера. Създал съм 3 файла – spammer_hosts (хостове и IP-та на източници на спам), spammer_mails (е-майл адреси на подателя) и spammer_contacts (е-майл адреси за обратна връзка).

След допълване на някой от тези файлове той трябва да бъде хешнат с командата postmap. Ако например съм добавил нов източник:

postmap spammer_hosts

което създава съответен файл с разширение .db (примерно spammer_hosts.db), или го обновява.

След като внеса съответната информация и в трите файла, и ги хешна, за всеки случай презареждам конфигурациите на Postfix. По всички правила не би трябвало да е нужно, но предпочитам да съм на сигурно:

/etc/init.d/postfix reload

Трите файла с информация за спамерите трябва да бъдат описани в основния конфигурационен файл на Postfix, main.cf. Описването става както следва:

– файлът с информация за източници на спам – в директивата smtpd_helo_restrictions
– файлът с информация за адреси на подател – в директивата smtpd_sender_restrictions
– файлът с информация за адреси за контакт – в директивата smtpd_recipient_restrictions

Всяка от тези директиви съдържа по някакъв брой източници на информация за приемане или отхвърляне на опити за препращане на поща. (Не пускам тук моите, защото са твърде къстомизиран пример; стандартната инсталация на Postfix има добри примери, в Интернет има още повече.) Към всяка от тези директиви съответният файл се добавя като hash, например (за източниците на спам):

hash:/etc/postfix/spammer_hosts,

Мястото, на което се добавя източникът, е от значение. Добре е да е преди всякакви одобряващи директиви.

Ето, най-сетне, и моите списъци на спамери. Малка част съм изрязал по най-различни причини.

—-

Източници на спам:

# — The b2bnews.bg / bgvesti.com spam system — #

dynamic-media.org REJECT Spammer host
.dynamic-media.org REJECT Spammer host

# — The market-mail.info spam sender — #

market-mail.info REJECT Spammer host
.market-mail.info REJECT Spammer host
91.196.124.100 REJECT Spammer host
combgcom.com REJECT Spammer host
.combgcom.com REJECT Spammer host
91.196.126.123 REJECT Spammer host
# hosted by Superhosting: 91.196.124.0 – 91.196.127.255
mumuxu.com REJECT Spammer host
.mumuxu.com REJECT Spammer host
82.147.141.80 REJECT Spammer host
# hosted by Auto Union: 82.147.141.64 – 82.147.141.91

# — Other spammers — #

om-lufthansa.rsys3.com REJECT Spammer host
# spam from om-lufthansa.rsys3.com

(Повтарянето на домейни, един път с точка отпред и един път без, е необходимо, за да бъдат блокирани и всички поддомейни. Може да се избегне, като в ключовата дума parent_domain_matches_subdomains в main.cf се добави стойността smtpd_access_maps. Тази възможност обаче се описва като остаряла съвместимост, която се очаква да бъде премахната в бъдещи версии. Затова препоръчвам повтарянето с точка отпред.)

—-

Адреси (и домейни) на податели на спам:

b2bnews.bg REJECT Spammer.
bgvesti.com REJECT Spammer.

dicon-bg.com REJECT Spammer.

max-email.com REJECT Spammer.
tenita.net REJECT Spammer.

om-lufthansa.rsys3.com REJECT Spammer.

masterbulgaria.com REJECT Spammer.

galera-tour.com REJECT Spammer.

mb.bia-bg.com REJECT Spammer.

# Individual addresses:

mmc@bia-bg.com REJECT Spammer.
nereya@cablebg.net REJECT Spammer.

a.petrova@asn-global.com REJECT Spammer.

fiat@avto-union.eu REJECT Spammer.

—-

Адреси за контакт, посочвани от спамери и техни клиенти:

# —– Individual addresses —– #

marketmail@mail.bg REJECT Spammer contact
hotelyastrebets@mail.bg REJECT Spammer contact

yastrebets@tenita.net REJECT Spammer contact

fiat@avto-union.eu REJECT Spammer contact

lvlbranding@gmail.com REJECT Spammer contact

a.petrova@asn-global.com REJECT Spammer contact

marketingteam@infoserv.bg REJECT Spammer contact

daniela@antea.bg REJECT Spammer contact

# —– Entire domains —– #

masterbulgaria.com REJECT Spammer domain

b2bnews.bg REJECT Spammer domain
bgvesti.com REJECT Spammer domain

dicon-bg.com REJECT Spammer domain

nereya.com REJECT Spammer domain

max-email.com REJECT Spammer domain

galera-tour.com REJECT Spammer domain

Това е засега. Повече за спама – някой друг път.

18 thoughts on “И пак за спама

  1. Георги Тодоров

    Г-н Гачев, постът ви направи деня ми по-усмихнат 🙂

    Само съм благодарен, че не сте вие моят системен администратор, който да ми блокира newsletter-a на Lufthansa, който аз си очаквам, но вие сте решил че е спам (om-lufthansa.rsys3.com). Идва да покаже колко е разумна, разумната ви преценка (виж коментарите в предния пост, не знам дали се наясно, но хората правят white и black листи от години, по алгоритми по-сложни от вашата преценка).

    Моля, съгласете са на горните условия (особено на това за 10-те лева) да бъде приложено на домейна на вашата фирма, но когато някой спам-не от ваше име, нарочно, за да ви закрият сайта (например някой конкурент?), ще ми бъде много интересно как ще докажете, че НЕ ВИЕ сте спамвал, а някой друг, с цел да ви злепостави.

    Reply
  2. Георги Тодоров

    И както каза някой в предния пост — четейки тези правила, знам със сигурност че няма да стана клиент на .бг домейните.

    Е, разбира се знам със сигурност, че тези правила няма да бъдат приети 🙂

    Reply
  3. Zeridon

    Здрасти,

    Като цяло описанието ми се вижда малко непълно но поне е от добрите практики а и обясненията из него са добри. Имам само едно малко допълнение към мерките срещу спамерите.

    Относително лесно е да им се публикуват публично мейл адресите та да бъдат намерени от други спам ботове (вероятно това вече ще се е случило, но защо да оставяме нещата на случайността)

    Също така смятам че е що годе логично и до някъде необходимо подобни писма да се докладват към SpamCop и подобните организации

    Reply
  4. Pingback: Често задавани въпроси » Blog Archive » Мобилен spyware

  5. Жилов

    Бих искал да спомена, че благодарение на мерките за сигурност, които си поставил, вече не мога да поствам тук от домашния си компютър. Разбира се, аз не мога да си представя какво е да получаваш толкова спам на ден.

    Reply
  6. Longanlon

    цар си бате 🙂 отдавна съм забелязал, че подходът на твърдата ръка е единственият, който работи в интернет – щото привидната анонимност дава на един определен тип хора повече смелост, отколкото биха си позволили иначе…

    Reply
  7. Григор Post author

    @Георги Тодоров: Един от уроците на напредналата възраст (над 18 години) е, че по-доброто е враг на доброто. Който чака по-доброто, не получава доброто. А тъй като в реалния свят до по-доброто се стига единствено през доброто, то който чака направо по-доброто чака завинаги.

    Къде се вмества тук този, който чака направо съвършеното, оставям читателите да се сетят сами. Как ще се развие на практика обещанието “няма да стана клиент на .бг” – също.

    @Zeridon: Уви, големите антиспамери често са обект на измами (правени от спамери) – опити за включване на легитимни сайтове в списъците им, за да ги компрометират. Затова и много трудно приемат писма от външни хора.

    @Жилов: С гаранция не е заради моите мерки за сигурност – в блога ми има само един Akismet, плюс първоначално ръчно одобрение за неписали досега. Представата можеш да получиш много лесно – ще ти изпратя еднодневен лог от основния ми пощенски сървър.

    @Longanlon: Мразя подхода на твърдата ръка, но уви, той понякога е единственият, който пречи на едно дребно, но отровно малцинство да съсипва живота на останалите. В такива случаи го прилагам без колебание.

    Reply
  8. Минута е много

    Може да да добавите и mail.b-trust.org – от уеб-пощата им бълват спам за курсове по нещо-си, а админите им не отговарят на мейлове.

    Reply
  9. Григор Post author

    @Минута е много: b-trust ще са по-трудни за блокиране, защото имат страшно много жизнено важна за клиентите им кореспонденция. Ако обаче повечето е-майл доставчици в България успеем да изработим обща политика, вероятно българското е-майл пространство скоро ще стане много по-чисто. 🙂

    Reply
  10. Георги Тодоров

    Аз ползвам postini за филтъринг на спам и смея да твърдя, че е по-добро от предлаганите по-горе идеи и не е враг на доброто. Не виждам как може да се твърди, че пощата на b-trust ще е по-важна от newsletter-а на Lufthansa (това за пример). Само защото за вас е така, не означава че за всички хора (чиято кореспонденция тече през вашия мейл сървър) ще е така — това също е урок на възрастта — да не вземам решения от името на други.

    Reply
  11. Григор Post author

    @Георги Тодоров: Още един от уроците на възрастта е умението да различаваш поща от спам. Обикновено се състои в сложната задача да прецениш дали току-що получените еднакви рекламни съобщения до всички акаунти, които поддържаш на сървъра си, са поща (т.е. желана и поискана от собствениците им кореспонденция) или спам (а.к.а. непоискани рекламни съобщения). Аз в глупостта си обикновено в такива случаи преценявам, че се касае за второто, и блокирам изпращача. Клиентите ми, които пък са още по-глупави, почти без изключение са ми благодарни, че не ги питам за всеки спам искат ли го, или не. И стоят при мен именно заради тази ми политика.

    Извън иронията, не виждам как може postini да е по-добро от прякото блокиране на спама, особено в дългосрочен план. Може би тук се включват някакви съображения, които не разбирам. Аз съм много простичък е-майл администратор, и гледам интереса на клиентите ми.

    Reply
  12. Петър Петров

    @Георги Тодоров: При наличие на клиент с нужда от получаване на спам, логично е същият да си вдигне собствен Mail Server и да си получава. При наличие на некомпетентен и/или мързелив такъв клиент, нежелаещ да отдели ресурси за изграждане и поддръжка на собствен пощенски сървър, не виждам логиката някой друг (примерно Григор) да си отделя от ресурсите вместо него.

    Reply
  13. Григор Post author

    @mutant: Полезно нещо, но в друга сфера – автоматичните операции при поща, за която не е ясно дали е читава или спам. Когато няма съмнение, според мен се действа по окончателни методи. 🙂

    Reply
  14. [vladi]

    Само да не пропуснем:

    viacall.info / catalogbg.biz – тия са професионалисти – даже предлагат услуга спамене и продават бази данни с контакти.

    ideas-reality.com

    Reply
  15. Климент Огнянов

    Бой по каската без грам милост!

    Едно време мачкахме здраво клиенти, които вършеха глупости, сега не знам как е.
    Права ли, казват? Никакви права за такива!!!
    Щом имат “правото” да тормозят, “злите” администратори имат правото да размахват/ме гегата!

    Изобщо, като цяло имейл маркетинга е динозавър от дълбоката древност, от който само лошотии съм виждал досега … затова – БЛОКАЖ! Нека реват после!
    Дори споменатите “персонални” алгоритми да са по-агресивни и по-несъвършени от “по-умните” споменати пак вършат работа.

    Поздрави,
    К.

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *