Алгоритмы принятия решения :)

Ilya Anfimov написал(а) к Valentin Davydov в Oct 06 14:50:40 по местному времени:

From: Ilya Anfimov <ilan@astelecom.ru>

2006-10-18, Valentin Davydov <val@sqdp.trc-net.co.jp> пишет:
>> From: Stanislav Latishko <Stanislav.Latishko@f949.n5030.z2.fidonet.org>
>> Date: Fri, 13 Oct 2006 15:18:48 +0400
>>
>>OVC> Интеpесно, как ты будешь отлавливать письмецо с заголовком "Поздpавляю!",
>>OVC> с
>>OVC> выдpанным из ПСС Пушкина стишком и подшумленным JPG с pекламой виагpы?
>>OVC> Кpоме
>>OVC> блеклистов (или белолистов) ничего нет, увы.
>>
>> Дай мне конкретное письмо (целиком, с полным заголовком) и я тебе
>>конкретно ткну пальцем в "ключевые" признаки. А алгоритма я тебе не дам,
>>ибо у меня его нет :)
>
> Вот такой заголовок - спам или не спам? Всё тело не привожу, оно длинное,
> персональные данные попытался выкинуть.
>
> Return-Path: <xx.yyy@sca-shinyei.com>
> Received: from mx.zzz.ru (mx.zzz.ru [ZZ.ZZ.ZZ.ZZ])
> by mail.zzz.ru (8.12.11/8.12.11) with ESMTP id k9GFpAub064130
> for <zz@zzz.ru>; Mon, 16 Oct 2006 19:51:35 +0400 (MSD)
> (envelope-from xx.yyy@sca-shinyei.com)
> Received: from mail.sca-shinyei.com (mail.sca-shinyei.com [65.244.2.157])
> by mx.zzz.ru (8.13.6/8.13.6) with ESMTP id k9GFpVXc003764
> for <zz@zzz.ru>; Mon, 16 Oct 2006 19:51:32 +0400 (MSD)
> (envelope-from xx.yyy@sca-shinyei.com)
> Received: from DН64N2B1 [65.244.5.162] by mail.sca-shinyei.com with ESMTP
> (SMTPD-8.21) id AA5602A0; Mon, 16 Oct 2006 11:50:46 -0400
> From: "Xx Yyy" <xx.yyy@sca-shinyei.com>
> To: <zz@zzz.ru>
> Cc: <xx.yyy@sca-shinyei.com>
> Subject: Shinyei - Innovators of Cryogenic Equipment solutions
> Date: Mon, 16 Oct 2006 11:50:44 -0400
> MIME-Version: 1.0
> Content-Type: multipart/mixed;
> boundary="----=NextPart_000_01BB01C6F119.50514E60"
> X-Mailer: Microsoft Office Outlook, Build 11.0.5510
> Thread-Index: AcbWp6dgwUqQyuB2Qdy4pw88m66SwAGLLqWgAPckhWAEImwP0A==
> X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2962
> Message-Id: <200610161150862.SM04936@DН64N2B1>
> X-Declude-Sender: xx.yyy@sca-shinyei.com [65.244.5.162]
> X-Declude-Spoolname: Daa55018b000009d2.smd
> X-Declude-Note: Scanned by MultiNet 3.0.5.21 for spam.
> X-Declude-Scan: Score [0] at 11:50:53 on 16 Oct 2006
> X-Declude-Fail: Whitelisted
> X-Country-Chain:
> Status: RO
> Content-Length: 522500
> Lines: 6984
>
> This is a multi-part message in MIME format.
>
> ------=NextPart_000_01BB01C6F119.50514E60
> Content-Type: multipart/alternative;
> boundary="----=NextPart_001_01BC01C6F119.50514E60"
>
> ------=NextPart_001_01BC01C6F119.50514E60
> Content-Type: text/plain;
> charset="us-ascii"
> Content-Transfer-Encoding: 7bit
>
> Dear Mr. Valentin Davydov,
>
>
> Thanks for viewing our Cryogenic Equipment SC-DF25 at www.globalspec.com.
>
> My name is Xx Yyy, VP - Sales of Shinyei Corp. of America in New York.
>
> Please find the attached pdf file for your further consideration and let me
> know if you have any questions.
>
> И так далее. После того, как ты скажешь, спам это или не спам, я расскажу
> предысторию.

Давай потренирую телепатию -- троян вида .pdf.exe?

--- ifmail v.2.15dev5.3

Stanislav Latishko написал(а) к Valentin Davydov в Oct 06 19:31:38 по местному времени:

Wed, 18 Oct 06 08:55:54 +0400 Valentin Davydov (VD) писАл[а] :

VD> Вот такой заголовок - спам или не спам? Всё тело не привожу, оно длинное,
VD> персональные данные попытался выкинуть.

VD> Return-Path: <xx.yyy@sca-shinyei.com>
VD> Received: from mx.zzz.ru (mx.zzz.ru [ZZ.ZZ.ZZ.ZZ])
VD> by mail.zzz.ru (8.12.11/8.12.11) with ESMTP id k9GFpAub064130
VD> for <zz@zzz.ru>; Mon, 16 Oct 2006 19:51:35 +0400 (MSD)
VD> (envelope-from xx.yyy@sca-shinyei.com)
VD> Received: from mail.sca-shinyei.com (mail.sca-shinyei.com [65.244.2.157])
VD> by mx.zzz.ru (8.13.6/8.13.6) with ESMTP id k9GFpVXc003764
VD> for <zz@zzz.ru>; Mon, 16 Oct 2006 19:51:32 +0400 (MSD)
VD> (envelope-from xx.yyy@sca-shinyei.com)
VD> Received: from DН64N2B1 [65.244.5.162] by mail.sca-shinyei.com with ESMTP
VD> (SMTPD-8.21) id AA5602A0; Mon, 16 Oct 2006 11:50:46 -0400
VD> From: "Xx Yyy" <xx.yyy@sca-shinyei.com>
VD> To: <zz@zzz.ru>

Заголовок "честный", rfc соблюдены; письмо родилось во внутренней
сети, уходило через "официальный" выходной релей конторы. Т.е. вероятность
того что это окажется массовой рассылкой - ничтожно мала (тамошний админ
бдит - ему совсем не надо попадать в черные списки)

Есть небольшая вероятность, что это спам "индивидуального
изготовления", но такой спам я не считаю страшным. На этой стадии
анализа, решение - пропускать. (Именно здесь детектируется бОльшая
часть спама, дальше в принципе можно и не смотреть)

VD> Subject: Shinyei - Innovators of Cryogenic Equipment solutions

Subject малость подозрительный :)

VD> Dear Mr. Valentin Davydov,

Знают fullname, при этом в To: его нету. Однозначно: данные
брались не из спамерской базы адресов. (Ну это уже так, развлекуха - я
ведь обещал в тело не заглядывать:)

VD> Thanks for viewing our Cryogenic Equipment SC-DF25 at www.globalspec.com.

Ага. Судя по всему, это список рассылки по данным посещений xxx ;
т.е. если это и спам, то вполне себе "адресный", а не кому попало. Если
он раздражает, то проблема решается одним письмом админу "а какого хера,
собственно, от вас мусор лезет?!"

Т.е., если я работаю за автомат, то мое решение - пропускать,
однозначно.
--
Stanislav Latishko

@@ sl @ sl . spb . su ; 2:5030/949 @@
--- ifmail v.2.14

Stanislav Latishko написал(а) к Oleg V Cat в Oct 06 21:24:56 по местному времени:

Wed, 18 Oct 06 09:45:22 +0400 Oleg V.Cat (OVC) писАл[а] :

OVC> В пpавильно наpисованном письме пpизнак будет только один - пpиход с "левого
OVC> сеpвеpа".

Не понимаю что такое "левый сервер". Почти весь спам приходит с
"диалапных" (адсл-ных, и т.п.) адресов, и скрыть это невозможно. Так что
ты первым делом смотришь - а не "диалапный" ли это айпишник, и если да -
нужны очень серьезные основания считать это письмо неспамом. Если же
оно пришло с выходного релея к-л провайдера, то скорей всего спамер был
бы этим же провайдером отстрелян, т.е. считаем письмо "честным", если
только нет других признаков, указывающих на спамерский софт.

OVC> быстpее, но Ты ведь хочешь 100% защиты :). (Если Ты не знаешь, как в своей сети

100% не хочу, это невозможно. У меня есть знакомый (весьма неслабый
сетевик), который в голодные студенческие годы подрабатывал "Гербалайфом" :)
Так вот, вероятность того, что в минуту депрессии от голода он начнет это
дело втюхивать своим друзьям, отличалась от нуля :) Принять решение по
поводу такого письма - я бы и сам не взялся, не говоря уж об автомате :)

OVC> оpганизовать неотличимый от pеального мейл от "самого большого босса" - "всем
OVC> завтpа пpинести на pаботу веpевки и мыло" - значит споp бессмысленен, если
OVC> знаешь - беспpедметен :) ). Даже выходить из комнаты не надо - pедко кто (?)
OVC> MAC-адpеса на SMTP сеpвеpе логгиpует.

В пределах своей сетки, не более. А "самый большой" в другой сетке
живет :) И роутерами командую не я. Трояна в ту сеть закинуть, конечно же,
могу, но хакерство - это уже совсем другая тема.
--
Stanislav Latishko

@@ sl @ sl . spb . su ; 2:5030/949 @@
--- ifmail v.2.14

Oleg V.Cat написал(а) к Stanislav Latishko в Oct 06 17:44:28 по местному времени:

Нello Stanislav!

Wednesday October 18 2006, Stanislav Latishko writes to Oleg V Cat:

OVC>> В пpавильно наpисованном письме пpизнак будет только один - пpиход с
OVC>> "левого сеpвеpа".
SL> Не понимаю что такое "левый сервер". Почти весь спам приходит с
SL> "диалапных" (адсл-ных, и т.п.) адресов, и скрыть это невозможно.
Ну я не очень понимаю, если честно, "почему это нельзя скpыть". Дpугое дело, что, обычно, "лишний день и сотню баксов" на это никто тpатить не будет.

OVC>> быстpее, но Ты ведь хочешь 100% защиты :). (Если Ты не знаешь, как в
OVC>> своей сети
SL> 100% не хочу, это невозможно.
Исходно - тpебовал :).

OVC>> оpганизовать неотличимый от pеального мейл от "самого большого
OVC>> босса" - "всем завтpа пpинести на pаботу веpевки и мыло" - значит споp
OVC>> бессмысленен, если знаешь - беспpедметен :) ). Даже выходить из
OVC>> комнаты не надо - pедко кто (?) MAC-адpеса на SMTP сеpвеpе логгиpует.
SL> В пределах своей сетки, не более. А "самый большой" в другой сетке
SL> живет :) И роутерами командую не я.
Ну если у вас много собственных подсетей - да, отслеживается, на уpовне "гхм, а как это письмо от большого босса пpишло не с того сеpвеpа, откуда он ее обычно шлет?". Подделать path в чужой сети - да, пpоблематично.

SL> Трояна в ту сеть закинуть, конечно же, могу, но хакерство - это уже
SL> совсем другая тема.
В общем случае тогда "не можешь", туннель свеpлить надо.


\__Cat
/\ /\

---

Aleksandr Konosevich написал(а) к Stanislav Latishko в Oct 06 20:00:38 по местному времени:

Нello Stanislav Latishko!

SL> гово- рить "скрипач не нужен". Иначе - звать его звиздюком по жизни ...
SL> Агрументированные возражения есть ? ;)

Заведи ящик @mail.ru

--- писмо из глыби времён