id: Гость   вход   регистрация
текущее время 00:44 29/03/2024
создать
просмотр
редакции
ссылки

В данном документе описан выдуманый мной (Serzh) способ защиты от спама.


Нам необходимо:

1. персональная страница
2. почтовый сервер, который поддерживает:
белый список1
автоматическую обработку писем
отключение встроеного антиспама

Шаг №1.

На персональной странице размещаем форму, которая содержит поле ввода email (для добавления в белый список) и антибот. Данная форма отсылает письмо на наш почтовый адрес в формате:

Шаг №2.

Необходимые обработки писем:
1. Добавление в белый список.

Если в полученном письме секретное слово совпадает, то содержимое поля "тема" добавляем в белый список.
Сканируем папку "Карантин" на письма от этого получателя, если таковые есть, то переносим их в папку "Входящие".
Письмо от скрипта удаляем или переносим в папку "Архив".

2. Получение письма от неизвестного отправителя.

Если отправитель не входит в белый список отправляем автоответ на языках вероятного отправителя, в котором содержится уведомление о необходимости внесения в белый список + ссылка на нашу страницу.
Полученое письмо переносим в папку "Карантин". По истечению 30 дней его можно смело удалять.


Шаг №3.

Тестируем систему и отключаем штатный антиспам.

!Адреса списков рассылки добавляем руками.

1 список почтовых адресов, от которых разрешено получение писем.


© 2008 serzh

Материал распространяется на условиях
CreativeCommons-Attribution-ShareAlike
CreativeCommons-Attribution-ShareAlike

 
На страницу: 1, 2 След.
Комментарии [скрыть комментарии/форму]
— ntldr (08/01/2008 15:53)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Два принципиальных недостатка этой системы:
1 – Для работы с почтой мы заставляем отправителя использовать HTTP и броузер помимо одного только SMTP почтового клиента. Мало кто захочет связываться с такими заморочками.
2 – Антибот системы основаные на capcha прекрасно ломаются, включая даже капчи подобные сделаным на этом сайте. Взлом их лишь вопрос времени и денег, и если это будет экономически выгодно, то их взломают.

Если максимально упростить и приблизить к имеющимся решениям, то будет проще разрешить прием писем лишь из заранее определенного списка smtp серверов при регистрации на которых пользователь проходит capcha тест. Но это мера совершенно неюзабельная.

Как альтернатива давным давно существует антиспам на основе подтверждения существования e-mail отправителя, который дает результат близкий к 100% (по крайней мере я не слышал, чтобы пользователи такой системы когда-нибудь получали спам). Делается она просто: при приеме мисьма с e-mail не находящегося в белом списке нужно высылать ему обратное письмо с просьбой подтверждения отравки письма, в которое можно по вкусу встроить капчу. В случае удачного подтверждения e-mail добавляется в вайтлист на некоторое время с обязательной привязкой к подсети из которой было отправлено подтверждение.
— SATtva (08/01/2008 16:15)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Делается она просто: при приеме мисьма с e-mail не находящегося в белом списке нужно высылать ему обратное письмо с просьбой подтверждения отравки письма

И это решение вносит свой вклад в объём неинформационного шума в почтовом трафике. На каждое сообщение с ошибкой от почтовых серверов пользователь генерирует ещё одно сообщение с запросом (на которое робот, разумеется, ответить не сможет).
— Гость (08/01/2008 17:29)   <#>
Всем вавно уже известно, что бы убедиться, что отправленное письмо дошло до адресата надо позвонить ему по телефону. Если вам лень звонить, значит, если письмо не имеет такой важности для вас, то оно и не имеет такой же важности и для адресата.
— Гость (08/01/2008 18:06)   <#>
А может быть можно вообразить вот какую систему: каждый mail-сервер, отправляя письмо юзера другому mail-серверу, подписывает его. Допустим, что ключи всех серверов известны или подписаны одним корневым сертификатом. Если mail-сервер получает от имеющегося уже в списке адресата письмо, то ничего не делается и письмо кладётся во входящие. Если же полученное письмо от неизвестного адресата, то mail-сервер-получатель делает запрос mail-серверу-отправителю на предмет того, имеется ли пользователь с указанным ником, зарегистрированым в его базе данных. Я думаю что такие подтверждения не сгенерят так уж много траффика но зато избавят от спама (особенно если учесть что 99% всех mail-писем, гуляющих по сети есть спамовые...). Ну и, естественно, как мера противодействия: если какой-то mail-сервер оборзел, и не отвечает на запросы, то он заносится в блэк-лист. Если какой-либо сервер замечен в рассылке спама и ничего не делает против этого, то он вносится в блэк-лист, а его IP и домен банятся. Грубо говоря, не сервер-получатель должен заботиться о сортировки спама, а сервер-отправитель, боясь того, что его вообще забанят.

Это так – первое что пришло в голову, возможно, идея не очень...
— SATtva (08/01/2008 18:25)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
А может быть можно вообразить вот какую систему: каждый mail-сервер, отправляя письмо юзера другому mail-серверу, подписывает его.

Это называется wikipedia:DomainKeys (DKIM). (Существуют и другие протоколы подобного назначения.) Проблема в том, что для того, чтобы всё заработало, как надо, заверять исходящие сообщения должен каждый мэйл-сервер. Вы хотите переложить всю головную боль с получателя на отправителя, но если получатель (мэйл-сервер) не хочет отправлять в мусорную корзину помимо спама ещё 70-80 процентов легитимных писем (просто из-за того, что серверы отправителей не используют DKIM), ему, опять же, приходится учитывать такую ЭЦП лишь как один из параметров более комплексной интегральной спам-оценки.
— Гость (08/01/2008 19:00)   <#>
Вы хотите переложить всю головную боль с получателя на отправителя, но если получатель (мэйл-сервер) не хочет отправлять в мусорную корзину помимо спама ещё 70-80 процентов легитимных писем

Не знаю. Может быть, имело бы смысл доработать идею и внести в RFC, т.е. по сути доработать существующий mail-протокол. Сейчас и немедленно это всё трудно да, но если рассмотреть как одно из решений спам-проблемы в будущем, то почему бы и нет...
— serzh (08/01/2008 19:13)   профиль/связь   <#>
комментариев: 232   документов: 17   редакций: 99
1 – Для работы с почтой мы заставляем отправителя использовать HTTP и броузер помимо одного только SMTP почтового клиента. Мало кто захочет связываться с такими заморочками.
Можно сделать капчу через почту. Более того это необходимо сделать только один раз.

2 – Антибот системы основаные на capcha прекрасно ломаются, включая даже капчи подобные сделаным на этом сайте. Взлом их лишь вопрос времени и денег, и если это будет экономически выгодно, то их взломают.
Сила капчи в индивидуальности, т.к. её ломать невыгодно.

Грубо говоря, не сервер-получатель должен заботиться о сортировки спама, а сервер-отправитель, боясь того, что его вообще забанят.

Можно забанить и ошибочно. Все решения с вероятной ошибкой не подходят, т.к. вынуждают просматривать папку "Спам".

А может быть можно вообразить вот какую систему: каждый mail-сервер, отправляя письмо юзера другому mail-серверу, подписывает его.
Проблема в том, что это должен делать каждый mail-сервер.

P. S. Идеальная система – каждый пользователь подписывает письмо своим ключём. Если он входит в сеть доверия, то спамить он точно не будет =)
— Гость (08/01/2008 20:10)   <#>
Можно класть в конверт деньги, чем важнее письмо – тем больше сумма. А получатель, если сочтёт письмо важным, может вернуть деньги отправителю (и даже доплатить!).
То есть, в качестве носителя писем можно использовать поле комментария какой-нибудь популярной платёжной системы.
— Гость (08/01/2008 21:16)   <#>
Идеальная система – каждый пользователь подписывает письмо своим ключём. Если он входит в сеть доверия, то спамить он точно не будет =)

А как же анонимность?!
— serzh (08/01/2008 23:04)   профиль/связь   <#>
комментариев: 232   документов: 17   редакций: 99
Идеальная система – каждый пользователь подписывает письмо воим ключём. Если он входит в сеть доверия, то спамить он точно не будет =)

А как же анонимность?!

В данном случае проблема анонимности не стоит.
— ntldr (08/01/2008 23:35)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Ну а гарантированая защита от спама должна подходить под все возможные и невозможные случаи. И нужно учитывать то, что никто ради отсылки писем на ваш сервер не станет менять софт на десятках тысяч почтовых серверов.
И тем более, пользователь отсылающий письма через систему описаную в сабже никогда не помянет хорошим словом ее разработчика. По крайней мере у меня бы требование куда-то заходить и что-то заполнять вызвало бы кучу ругательств.
— Гость (09/01/2008 00:52)   <#>
В данном случае проблема анонимности не стоит.

Если попытаться сделать систему общепринятой и распространённой – встанет.
— poptalk (09/01/2008 04:19)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
Если взглянуть с экономической точки зрения... у меня 20 ящиков и приходит 1 спам в день. Просто не оставляйте свой почтовый ящик на сомнительных сайтах.

Кстати, некоторые форумы в поле "От" подставляют e-mail и имя автора поста, а не e-mail администрации форума. Как в этом случае строить белый список?

P. S. Идеальная система – каждый пользователь подписывает письмо своим ключём. Если он входит в сеть доверия, то спамить он точно не будет =)

Абсолютно согласен. Но сейчас вместо ключа берут IP-адрес. :-) Проблема только когда локальная сеть находится за NAT и из-за одной заражённой машины страдают все.
— Гость (09/01/2008 09:50)   <#>
Просто не оставляйте свой почтовый ящик на сомнительных сайтах.

Бывает так, что ящик должен публиковаться в общепринятом формате на сайтах или в статьях.
— poptalk (09/01/2008 10:37)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
Просто не оставляйте свой почтовый ящик на сомнительных сайтах.


Бывает так, что ящик должен публиковаться в общепринятом формате на сайтах или в статьях.

Так я и публикую... в защищённом виде (графика, captcha, JavaScript). Просто не вводите e-mail в текстовом виде.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3