Борьба со спам-ом методом встречного сканирования.

Учитывая, что практически весь спам идёт с заражённых машин, выполняется SYN-сканирование 1025/tcp, 1026/tcp, 1028/tcp, 5000/tcp. Если по результатам кто-то из них слушается - то сразу отлуп, иначе SYN-скан 1080/tcp, 3128tcp, 8080/tcp. Если результат успешный - то установление сессии на себя по 25/tcp через этот порт с определением типа прокси - SOCKS или HTTPS/CONNECT. Если успешно - то отлуп. Иначе попытка подключения на 25/tcp удалённого хоста. Если отлуп с удалённой стороны - разрешить соединение, иначе если удалённая сторона на мусор в сессии даёт всегда код 250 или greet message содержит "AnalogX Proxy" - то отлуп. Если сервер не фейковый, то попытка отрелеить почту через него от себя на себя же. Если пускает - отлуп. Результаты кешируются в базе: позитивные - 24 часа, негативные - 48. Ну и потом по мелочам собственный black list по итогам месяца и sender callout verification вкупе с проверкой в helo/ehlo айпишника или моего же днс имени.

Apr. 28, 8040 // 11:10 | Комментарии (0)