Rbl trmr что это

Защита от спама в Exchange 2013, 2016: RBL

В этой статье мы поговорим об особенностях работы и настройке RBL фильтров в Exchange 2013/2016. Вкратце напомним о том, что такое RBL. RBL (Realtime Blackhole List) представляет собой сервис, хранящий базу данных, содержащую список IP-адресов почтовых серверов, замеченных в рассылке спама. Чаще всего доступ к RBL осуществляется по протоколу DNS, поэтому такие сервисы называют также DNSBL (DNS Block Lists).

Почтовый сервер при получении письма от неизвестного отправителя может автоматически сверяться с такими списками и блокировать почту с IP адресов, перечисленных в базе RBL сервисов. При обнаружении совпадения адреса отправителя со значением в одном из RBL списков, в ответ на команду RCPT TO ваш сервер Exchange выдаст SMTP сообщение об ошибке 550 5.x.x, а отправитель получат соответствующий отбойник.

За функционал блокировки соединений на основе списков IP адресов в Exchange 2016 и 2013 отвечает агент фильтрация подключений (Connection Filtering). Агент Connection Filtering включает в себя:

Первые два списка являются статическими и ведутся вручную администратором Exchange. В списке RBL провайдеров указывается список сторонних источников данных RBL, с которыми необходимо сверится при получении письма.

В Exchange 2007/2010 антиспам фильтрация включалась с помощью скрипта install-AntispamAgents.ps1, причем оба агента фильтрации (Connection Filtering и Content Filtering) устанавливались на одном сервере с ролью Hub Transport. В Exchange 2013 транспортная роль разбита на 2 составляющие: Front End Transport и Back End Transport, а функционал фильтрации разделен спама на 2 части. На сервере Front End выполняется фильтрация подключений (Connection Filtering), а на Back End – фильтрация содержимого (включает в себя IMF-фильтр — Exchange Intelligent Message Filter и агент обнаружения вирусов — Malware Agent).

В Exchange 2013, если роли CAS и Mailbox установлены на одном сервере, скрипт Install-AntispamAgents.ps1 устанавливает только агент контентной фильтрации. Это означает, что функционал RBL-фильтрации будет не доступен.

Чтобы установить агент Connection Filtering, нужно воспользоваться командлетом Install-TransportAgent:

Т.к. в Exchange 2016 все роли (кроме Edge Transport) совмещены, поэтому, если у вас нет выделенного сервера с ролью Edge Transport, вам придется установить антиспам агентов с помощью скрипта install-AntispamAgents.ps1 на всех серверах. Затем службе транспорта Exchange нужно указать адреса внутренних SMTP серверов, которые должны игнорироваться при проверке на спам:

После установки агента, его нужно включить и перезапустить службу Front End Transport:

Проверить, что агент фильтрации подключений установлен и работает можно так:

Далее нужно указать список используемых RBL провайдеров.

Можно добавить сразу несколько RBL провайдеров, предварительно ознакомившись с их особенностями и политикой коммерческого использования.
Список используемых RBL можно вывести так:

Get-IPBlockListProvider

Проверить наличие конкретного IP адреса на предмет присутствия в RBL списке можно так:

Логи агента Connection Filter по умолчанию сохраняются в каталог
C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\AgentLog.

Вы можете получить информацию о том, какой из RBL провайдеров отклонил письмо, выполнив поиск по *.log файлам в этом каталоге. Чтобы найти файл лога с указанным email адресом, откройте cmd и выполните команды:

cd “C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\AgentLog”
find /c «spam@mail.ru» *.log | find «:» | find /v «: 0»

Потом откройте найденный log файл в любом текстовом редакторе и поиском по отклонённому email вы сможете определить RBL провайдера, который заблокировал письмо и время блокировки.

В этом пример видно, что письмо отклонено провайдером zen.spamhaus.org.

spam@mail.ru,,user@winitpro.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,”550 5.7.1 Recipient not authorized, your IP has been found on a block list”,BlockLictProvider,zen.spamhaus.org.

После накопления первичной информации (обычно нужно в два – три дня, в зависимости от объема почтового трафика), вы можете получить статистику результатов работы RBL фильтрации спама с помощью скрипта Get-AntispamTopRBLProviders.ps1.

Первое время начала использования RBL-фильтрации нужно внимательно изучить логи фильтрации на предмет ложных срабатываний, чтобы не заблокировать почту от ваших партнеров. Вы можете добавить такие доверенные email адреса или имена доменов в белый список Exchange:

Или добавить IP адрес определенного SMTP сервера в доверенные:

Дополнительно для получения статистики о фильтрации писем фильтрами Connection Filtering Agent можно использовать следующие предустановленные PowerShell скрипты:

Для отключения фильтрации входящей почты нужно отключить Connection Filtering Agent:

Списки RBL являются достаточно эффективным средством борьбы с нежелательной почтой, но в большинстве случаем для полноценной антиспам защиты нужно использовать их совместно с другими способами борьбы со спамом. В дополнении к RBL вы можете вручную заблокировать конкретные адреса или домены отправителей в Exchange.

Источник

Tremor International Ltd (TRMR)

Все последующие выпуски Только предстоящий выпуск Получить напоминание за 1 торговый день

Позиция успешно добавлена:

Сведения о компании Tremor International Ltd

Контактная информация

Руководители

Участвуйте в форуме для взаимодействия с пользователями, делитесь своим мнением и задавайте вопросы другим участникам или авторам. Пожалуйста, используйте стандартный письменный стиль и придерживайтесь наших правил.

Источник

Почтовая кухня #3: DNSBL — Что такое DNS blacklist и с чем их едят

Продолжение цикла статей о работе электронной почты. На этот раз — списках блокировки.

Что такое DNSBL\RBL?

DNSBL, как ясно из названия, список блокировки, основанный на DNS. Раньше такие списки назывались RBL (Real-time Blackhole List), но из-за лицензионных ограничений на торговую марку были переименованы.

Как это работает?

На сервер приходит письмо от другого сервера, с IP 111.222.333.444.

Сервер, настроенный на работу с блоклистом делает DNS запрос вида:

Далее, во зависимости от ответа, сервер принимает решение:

Если ответ «NXDOMAIN» — значит этот IP-адрес чист и спам с него не замечен.
Если ответ — любой IP — значит, адрес занесен в список и письмо принимать не стоит.

В зависимости от списка блокировки, IP может обозначать причину занесения адреса в BL, или не означать. 🙂
Также, причина (подробная) может содержаться в TXT-записи.

За что можно попасть в блэклист?

Попасть в список — легко, вылезти оттуда — сложно. Попасть можно за:

Что делать, если вас залистили:

Первый разблок обычно не составляет труда, а вот второй раз в списки лучше не попадать.

Приемущества и недостатки DBSBL.

На данный момент — DNSBL одна из самых популярных антиспам-технологий, на равне с greylisting-ом.

Его основные плюсы:

А минусы, куда без них:

Несколько советов.

Чтобы не попасть в список:

0) Не спамьте и не заказывайте спам. Правда. Выгоды это даст мало, а проблем очень много.
1) Соблюдайте стандарты. Имейте правильные HELO, SPF, PTR, настройте авторизацию, ограничте количесто рассылаемых писем. Имейте правильные и читаемые ящики abuse, root и postmaster, чтобы оперативно узнать, что через вас идет спам.
2) Не злоупотребляйте рассылами, даже легальными. Если нужно разослать несколько тысяч писем — не стоит делать это в прямую, с сервера. Создайте, например, список рассылки или news-группу.

Чтобы не потерять почту из-за BL. Особенно это критично для организаций, где потеря писем может нести прямые убытки.

1) Не используйте «жесткие» BL, которые блокируют не адреса, а подсети. Не раз и не два были случаи, когда в такие списки попадали целые дата-центры из-за одного спамера.
2) Не делайте BL единственным методом защиты от спама.
3) Используйте «мягкую» BL-политику, когда письмо с заблокированного адреса не отбрасывается, а идет на дополнительную проверку (например на spamassasin).
4) Имейте резервный MX-сервер.

Источник

Это RBL — «самая трушная андеграундная» баттл-лига в Петербурге. Как в «Ионотеке» два года делают баттлы с 14-летним школьником и МС в кресле-коляске, которые многим нравятся больше Versus

В Петербурге набирает популярность баттл-площадка Russian Battle League (RBL), поединки которой проходят в клубе «Ионотека». По просмотрам на ютьюбе она еще уступает Versus, однако всё чаще блогеры и рэперы говорят о том, что по качеству RBL — сильнейшая баттл-лига страны.

«Бумага» рассказывает об участниках RBL, среди которых 14-летний школьник и МС на кресле-коляске, из-за чего канал площадки заблокировал YouTube и как к ней относится Оксимирон.

Площадку Russian Battle League в 2016 году запустил баттл-рэпер из Пятигорска Антон Забаев, известный под псевдонимом Забэ. Баттлы устраивают в «Ионотеке» — совсем рядом с баром «1703», где проводится Versus. С недавних пор RBL называют второй по популярности баттл-площадкой Петербурга и «самой трушной андеграундной баттл-лигой» страны.

В ноябре на канале RBL выложили финал второго сезона лиги:

Раньше второй по популярности площадкой после Versus считали #SLOVOSPB, на которой выступал Гнойный. Однако в 2018 году под эгидой проекта не вышло ни одного баттла, а организаторы сосредоточились на проекте «Рвать на битах», где баттл-рэперы в командах по два человека соревнуются под биты. Таким образом, Versus и RBL стали единственными крупными площадками в Петербурге, на которых проходят акапельные баттлы. Хотя баттлы на битах под названием Drop The Mic проходят и в RBL, вот один из них:

Основатель RBL Забэ раньше и сам выступал на #SLOVOSPB, но после конфликта с организаторами в конце 2015 года туда не возвращался. На проекте у него в итоге состоялось только три баттла, один из которых не был выложен на ютьюб-канал. Еще один поединок Забэ состоялся на отборе Versus: Fresh Blood — одного из проектов площадки Versus, созданного для открытия новых имен в баттл-рэпе. Отбор в сезон Забэ прошел, но от дальнейшего участия отказался, объяснив это расхождением с организаторами во взглядах на баттл-культуру.

В результате Забэ стал заниматься исключительно собственной площадкой, а также передачей на ютьюбе «Нищий Хайп», в которой в прямом эфире обозревает баттлы и берет интервью у баттл-рэперов — среди гостей были, например, основатель Slovo Хайд, Rickey F и Movec. Сам Забэ в баттлах больше не участвует. Подробно о лиге и своей деятельности Забэ рассказывал в большом интервью The Flow:

RBL отличается сильным и разнообразным составом участников. Помимо уже сравнительно известных Шумма, Пиэма, Deep-Ex-Sense, Райтрауна и Movec, здесь выступают 14-летний харьковчанин МЦ всех МЦ и Diz Wheelz, передвигающийся на кресле-коляске.

Впрочем, и для Versus 2018 год не был удачным. Самым популярным баттлом на канале за год стал поединок Птахи и Гуфа, который прошел в феврале. Он набрал 16 млн просмотров — в два раза меньше, чем главный баттл 2017-го между Оксимироном и Гнойным. Других хитов, не считая баттла Гарри Топора и Rickey F с 8 млн просмотров, на канале в 2018-м почти не было.

Многие рэп-блогеры сейчас называют RBL сильнейшей баттл-площадкой России — среди них телеграм-канал «Бадибэг» (5 тысяч подписчиков), ютьюб-каналы Punchline (13 тысяч подписчиков) и «Баталия» (около 13 тысяч подписчиков). Канал Think about it (11,5 тысяч подписчиков) назвал поединок Deep-Ex-Sense и Movec лучшим баттлом года. Забэ в интервью The Flow также заявил, что Versus на данный момент проигрывает RBL в уровне баттлов. Кроме того, в отличие от Versus, вход на RBL доступен всем желающим по билетам (вход на последнее мероприятие стоил 800 рублей).

В этом году у RBL возникли проблемы с YouTube. Сначала платформа заблокировала баттл Deep-Ex-Sense и Movec — предположительно, потому, что в ходе выступления Movec демонстрировал фотографии пенисов. Сейчас ролик на канале снова доступен, неприемлемые с точки зрения YouTube изображения закрыты черным квадратом. В середине ноября канал RBL был заблокирован целиком. Забэ утверждал, что блокировка окончательная и организаторам придется создавать новый канал, но в течение нескольких дней YouTube его разблокировал. Как и в случае с блокировкой Versus, причиной удаления канала могла стать реклама букмекерской конторы.

Весной 2018-го один из ивентов RBL посетил Оксимирон. Телеграм-канал «Бадибэг» писал, что баттлы рэперу показались скучными, но в целом он якобы остался доволен увиденным и благодарил Забэ за приглашение. Забэ вскоре вызвал Оксимирона на баттл, на что Оксимирон ответил неопределенно. Издание «Палач» назвало возможный поединок Оксимирона и Забэ одним из самых ожидаемых событий для российского баттл-рэпа в 2019 году — как и гипотетический кроссовер между Versus и RBL.

В октябре на RBL закончился второй сезон, а 16 декабря в «Ионотеке» прошла встреча «RBL: Межсезонье».

Источник

RBL: вред или польза?

Хуже спама — только борьба со спамом
Народная мудрость

Что такое RBL

Сервисы RBL (Realtime Blackhole List) были первым эффективным средством борьбы со спамом. Первый такой сервис появился в 1997 году и достаточно быстро стал популярным. Все эти сервисы устроены практически одинаково — имеется список «плохих» IP-адресов, доступ к которому осуществляется в реальном времени по протоколу DNS. Использующие RBL почтовые серверы в момент приема очередного сообщения запрашивают сервис (или несколько RBL-сервисов) о том, является ли IP-адрес отправителя письма «плохим», и, на основании ответа RBL, либо принимают, либо отвергают письмо. Большинство серверных почтовых программ в настоящее время могут работать с сервисами RBL.

Простота идеи имеет и очевидный недостаток — сообщение принимается или отвергается только на основании IP-адреса посылающей стороны (пользователя или другого почтового сервера). В результате, если какой-то почтовый сервер попал в RBL-список, то почта с этого сервера не принимается всеми почтовыми службами, использующими данный RBL. Хочется еще раз подчеркнуть — не принимается вся почта с такого IP-адреса, как спам, так и «не спам» (конечно же, возможны и более мягкие настройки на принимающей стороне, но на практике в большинстве случаев сообщение отвергается, если отправитель попал в используемый RBL-список).

В настоящее время существует множество разнообразных RBL-сервисов, отличающихся, в первую очередь, политикой их администраторов. Существуют как «экстремистские» сервисы (например, blars.org, который обещает помещать в свой список запрещенных, в частности, за угрозы судебного преследования), так и более умеренные — с хорошо определенными правилами попадания в список запрещенных и выхода оттуда.

RBL-сервисы в настоящее время широко используются интернет-провайдерами, почтовыми службами и организациями. Во многих случаях качество RBL оценивается по единственному параметру — количеству спама, который проходит через почтовый сервер. Если количество спама удается уменьшить, данный RBL-сервис считается «хорошим». В то же время есть и другая, не менее важная характеристика — сколько «нормальных» писем не попало к получателям.

Проблема ложных срабатываний

Ложным срабатыванием (False Positive) принято считать тот случай, когда нормальное письмо (которое получатель не посчитал бы спамом) до получателя не дошло. Сам получатель об этом обычно не узнает, либо узнает по другим каналам связи («я тебе писал» — «а я ничего не получил»), поэтому проблему во многих случаях не замечает.

Впервые я столкнулся с проблемой ложных срабатываний летом 2001 года, когда ждал очень важного для меня E-mail сообщения, но так его и не получил. Так как было известно, что отправитель его точно отправил, то я стал читать лог-файлы своей почтовой системы и, к своему ужасу, обнаружил, что письмо было отвергнуто, так как почтовая система отправителя (почтовый сервер интернет-провайдера) находилась в RBL-списке сервиса ORDB. Очевидно, что все почтовые системы, использовавшие в тот момент ORDB для фильтрации спама, одновременно не принимали почту от всех клиентов этого провайдера (не самого маленького — «Россия Он-Лайн»). Начиная с этого дня, я не использую сервисы RBL для неприема почты — потери одного важного для меня письма мне хватило.

В то же время, многие интернет-провайдеры используют RBL для неприема (вредной) почты. В интернет-сообществе распространено мнение, что, если не использовать «экстремистских» RBL-сервисов, доля ложных срабатываний будет ничтожно мала (есть и другие мнения, например «если кто-то шлет почту с машины, находящейся в RBL, то это его проблемы»). Одновременно автору приходилось слышать, что «RBL у нас ловят весь спам. Ну, почти весь». Оба утверждения нуждаются во взвешенной оценке.

Как оценить эффективность RBL и долю ложных срабатываний

Как уже упоминалось выше, оценить долю ложных срабатываний RBL-сервисов затруднительно, т.к. та почта, на которой RBL ложно сработал, до получателя не дошла. Чтобы оценить эффективность в борьбе со спамом, нужно сравнить количество отвергнутого по RBL спама (это отвергнутая почта минус ложные срабатывания) с количеством спама пропущенного к получателям.

Таким образом, лучше всего иметь большие подборки почты, отсортированной какими-то другими методами на «спам» и «не-спам». Так получилось, что у автора имеется подобный архив за довольно длительный период, что и дало возможность провести оценку.

В исследовании использовались три группы сообщений:

Из всех этих писем были извлечены IP-адреса серверов, с которых они пришли на мою системы, и проверены по ряду списков RBL. Исследование проводилось 1 сентября 2003 г.

Необходимо отметить, что RBL — динамические базы данных; IP-адреса, которые были в списке на момент приема конкретного письма, могут там уже не находиться, равно как адреса, которые есть сейчас, могли не быть в RBL на момент приема письма. В то же время, стоит ожидать, что на порядок величины эффективности и ложных срабатываний не изменились.

В исследовании принимали участие два списка RBL с реальных почтовых систем. Эти списки были любезно предоставлены участниками рассылки antispam@ofisp.org. Содержание этих списков и детальная информация о результатах приведена в приложениях.

Результаты тестирования

Эффективность ловли спама.

В подборке спама было 17077 сообщений, пришедших с 9557 разных IP-адресов.

Эффективность ловли IP-адресов выше, чем сообщений — то есть IP-адреса, с которых идет много спама, имеют больше шансов попасть в RBL. Эффективность по фильтрации спам-сообщений не очень высокая — чуть больше половины и чуть меньше половины, соответственно. Ложные срабатывания на «важной» почте.

В подборке важной почты было 6537 сообщений, пришедших с 685 IP-адресов.

Другими словами, при использовании этих списков RBL автор потерял бы каждое 40-60-е письмо. С моим объемом переписки — это два важных письма в день, что очень много.

Ложные срабатывания на всей не-спам почте.

Вся входящая почта более разнообразна, в подборке было 18928 сообщений, пришедших с 1401 IP-адреса.
Первый список RBL отсеял 783 сообщения (4.1%), второй — 440 сообщений (2.3%).

Как видим, эффективно работающий против спама первый список одновременно убивает каждое 25-е легальное письмо.

Заключение

Полученные автором цифры — не догма. Очевидно, что если вы получаете почту от небольшого круга адресатов, то вероятность попадания их в списки запрещенных — мала. Чем шире круг общения и чем дальше он от интернет-сообщества, тем больше шансов у вашего корреспондента оказаться в RBL-списках. Приводимые в данном тексте цифры нужно рассматривать только как примерные — потери легальной почты в среднем могут достигать нескольких процентов.

В то же время, возможен и резкий рост числа потерь в вашем конкретном случае. Чем более «экстремистские» RBL-сервисы использует системный администратор вашей почтовой системы, тем больше легальной почты вы теряете. Правда, спама тоже приходит меньше.

Для автора очевидно, что единицы процентов ложных срабатываний и всего около половины отловленного спама — это неприемлемые на сегодня характеристики для спам-фильтра. Приемлемые — это доли процента (а лучше — сотые доли) ложных срабатываний и 80-90-95-98% обнаруженного спама.

Приложение 1. Эффективность избранных RBL-сервисов

Как видно из приведенных ниже таблиц, эффективность RBL по ловле спама и количество ложных срабатываний связаны непосредственно. Чем эффективнее ловим спам, тем «эффективнее» ловим нормальную почту.

Эффективность ловли спама различными RBL-службами

Ложные срабатывания на «важной почте»

Ложные срабатывания на всей не-спам почте

Приложение 2. Использованные списки RBL

Оба списка используются реальными интернет-сервисами

Источник