Hvordan er så spamd i daglig bruk? Vi tok i bruk spamd tidlig i desember 2004, etter å ha kjørt spamassassin og clamav som en del av leveringsprosessen i exim en stund. exim er satt opp til å merke og levere alt med poengsum fra 5 til 9.99 poeng og kaste alt med 10 poeng eller mer og meldinger med virus. I løpet av høsten var spamassassin blitt stadig sløvere, og slapp gradvis flere uønskede meldinger gjennom.
Da vi satte spamd i drift gikk mengden meldinger totalt og mengden meldinger spamassassin måtte ta seg av, drastisk ned. Mengden som kommer umerket gjennom, har nå stabilisert seg på omtrent fem om dagen, fordelt på en håndfull rapporterende brukere.
Hvis du starter spamd med kommandolinjeflagget -v får du en del informasjon ut over bare hvilke IP-adresser som tar kontakt. Med -v kan et et typisk loggutsnitt se slik ut:
Oct 2 19:55:05 delilah spamd[26905]: (GREY) 83.23.213.115: <gilbert@keyholes.net> -> <wkitp98zpu.fsf@datadok.no> Oct 2 19:55:05 delilah spamd[26905]: 83.23.213.115: disconnected after 0 seconds. Oct 2 19:55:05 delilah spamd[26905]: 83.23.213.115: connected (2/1) Oct 2 19:55:06 delilah spamd[26905]: (GREY) 83.23.213.115: <gilbert@keyholes.net> -> <wkitp98zpu.fsf@datadok.no> Oct 2 19:55:06 delilah spamd[26905]: 83.23.213.115: disconnected after 1 seconds. Oct 2 19:57:07 delilah spamd[26905]: (BLACK) 65.210.185.131: <bounce-3C7E40A4B3@branch15.summer-bargainz.com> -> <adm@dataped.no> Oct 2 19:58:50 delilah spamd[26905]: 65.210.185.131: From: Auto lnsurance Savings <noreply@branch15.summer-bargainz.com> Oct 2 19:58:50 delilah spamd[26905]: 65.210.185.131: Subject: Start SAVlNG M0NEY on Auto lnsurance Oct 2 19:58:50 delilah spamd[26905]: 65.210.185.131: To: adm@dataped.no Oct 2 20:00:05 delilah spamd[26905]: 65.210.185.131: disconnected after 404 seconds. lists: spews1 Oct 2 20:03:48 delilah spamd[26905]: 222.240.6.118: connected (1/0) Oct 2 20:03:48 delilah spamd[26905]: 222.240.6.118: disconnected after 0 seconds. Oct 2 20:06:51 delilah spamd[26905]: 24.71.110.10: connected (1/1), lists: spews1 Oct 2 20:07:00 delilah spamd[26905]: 221.196.37.249: connected (2/1) Oct 2 20:07:00 delilah spamd[26905]: 221.196.37.249: disconnected after 0 seconds. Oct 2 20:07:12 delilah spamd[26905]: 24.71.110.10: disconnected after 21 seconds. lists: spews1
De tre første linjene viser at en maskin kobler seg til, som andre aktive forbindelse, med en forbindelse fra en svartlistet maskin. (GREY) og (BLACK) før adressene angir at adressene er henholdsvis grålistet eller svartlistet. Etter 404 sekunder (eller 6 minutter og 44 sekunder) gir den svartlistede maskinen opp uten å fullføre leveringen. Linjene som følger kan være første kontakt noensinne fra en maskin, som så blir grålistet.
Den foreløpige konklusjonen er at spamd stopper mye spam. Dessverre har det dukket opp noen falske positive også, som såvidt jeg vet skyldtes listen spews2 (spews level 2). Vi har foreløpig kuttet ut den listen, uten at spammengden har økt merkbart.
Så kommer det som lenge var høydepunktet i min erfaring med spamd. Min beste loggoppføring var lenge denne:
Dec 11 23:57:24 delilah spamd[32048]: 69.6.40.26: connected (1/1), lists: spamhaus spews1 spews2 Dec 12 00:30:08 delilah spamd[32048]: 69.6.40.26: disconnected after 1964 seconds. lists: spamhaus spews1 spews2
Dette dreier seg om en avsender hos wholesalebandwidth.com. Denne maskinen gjorde 13 forsøk på levering fra 9. til 12. desember 2004. Siste forsøk tok 32 minutter og 44 sekunder, uten levering.
Jeg oppdaterer dette foredraget med noen mellomrom, og nylig fant jeg enda noen oppføringer som overgikk dette:
peter@delilah:~$ grep disconnected /var/log/spamd | awk '{print $9}' \
| sort -rn | uniq -c | head
1 36099
1 14714
1 10170
1 5495
1 2193
1 1964
1 1872
1 1718
1 1677
1 1617Den første, på 36099 sekunder, altså mer enn ti timer,
Aug 26 10:10:17 delilah spamd[26905]: 146.151.48.74: connected (1/0) Aug 26 20:11:56 delilah spamd[26905]: 146.151.48.74: disconnected after 36099 seconds.
dreier seg om en maskin som tilsynelatende er på University of Wisconsin, Madison, og som antakelig var infisert av en ekstremt lite intelligent spamsender-orm som rett og slett tok seg svært lang tid på å vente på resten av SMTP-dialogen. De neste oppføringene, med henholdsvis 4 timer, 5 minutter og 14 sekunder og 2 timer, 49 minutter og 30 sekunder, ser ut til å ha oppført seg på samme måte.