Каковы лучшие методы для ловли спама снегоступа?

Question

Каковы лучшие методы для ловли спама снегоступа?

Я использую Smartermail для своего маленького mailserver. У нас была проблема в последнее время получения волн спама снегоступа, которые следуют за тем же шаблоном. Они прибывают в пакеты 3 или 4 за один раз. Тела являются почти идентичным сохранением для доменного имени, с которым они связываются. Исходный дюйм/с имеет тенденцию быть от того же/24 блока некоторое время, затем они переключаются на другой/24. Домены имеют тенденцию быть совершенно новыми. Они имеют допустимый PTR и записи SPF и имеют случайный мусор у основания тела для спуфинга байесовских фильтров.

Я использую приблизительно дюжину различных РУБЛЕЙ включая Барракуду, Spamhaus, SURBL и URIBL. Они делают достойное задание, ловя большинство из них, но мы все еще получаем много промах через, потому что дюйм/с и домены не были помещены в черный список.

Есть ли какие-либо стратегии, которые я могу использовать, включая РУБЛИ, что блок недавно создал домены, или имейте дело конкретно с snoeshow спамом? Я надеюсь избежать необходимости использовать сторонний сервис фильтрации.

21

blacklist spam rbl email

задан pooter03 7 November 2014 в 20:26

Ссылка

4 ответа

Я установил Declude (который является бесплатным) и анализатор сообщений (который не является), и за последние 4 дня я заметил одно спам-сообщение, пришедшее на мою тестовую учетную запись электронной почты,в отличие от десятков, которые он получал в день. Насколько я могу судить, нам не удалось отфильтровать хорошие электронные письма. Spamassassin, вероятно, также был бы хорошим решением, хотя мне не повезло с ним, когда я попробовал Spam Assassin in a Box ..

1

ответ дан 2 December 2019 в 20:06
Ссылка

Многие ответы здесь относятся к общей защите от спама. В некоторой степени это имеет смысл, поскольку спамеры, похоже, предпочитают использовать снегоступы в качестве предпочтительного метода доставки.

Изначально Snowshoe всегда отправлялся из центров обработки данных в небольшом объеме (на основе IP) и всегда содержал ссылку для отказа от подписки (на ничего не сказать о том, работает ли). В настоящее время snowshoe почти никогда не имеет информации об отказе от подписки и отправляется в большом объеме со своих IP-адресов, но отправляется пакетно, так что к тому времени, когда IP-адрес попадает в черный список, он уже отправил почту. Это называется грозовым спамом .

Из-за этого DNSBL и даже жесткие подписи на основе шаблонов ужасны при обнаружении спама на снегоступах. Есть некоторые исключения, такие как список CSS Spamhaus (который специально предназначен для сетей на снегоступах и является частью как SBL, так и ZEN), но в целом вам понадобится серый список / tarpitting (который может задерживать доставку до тех пор, пока DNSBL не догонит) и, что наиболее важно, система машинного обучения, управляемая токенами, такая как байесовская фильтрация спама . Байес особенно хорош в обнаружении снегоступов.

В ответе Эндрю Б. упоминаются Новые домены и имена хостов (NOD) Farsight Security, которые пытаются предвидеть появление сетей на снегоступах, но до того, как они появятся. начать рассылать спам. Spamhaus CSS, вероятно, делает нечто подобное. CSS готов к использованию в среде блокировки, в то время как NOD действительно предназначен для подачи в пользовательскую систему, а не в автономную / блокирующую систему.

0

ответ дан 2 December 2019 в 20:06
Ссылка

Теги

blacklist spam rbl email

Похожие вопросы

110
Как запретить людям использовать мой домен для рассылки спама? [дубликат] - 18 December 2013 21:27

108
При борьбе со Спамом - Что может, я делаю как: почтовый Администратор, Доменный Владелец или Пользователь? - 13 April 2017 15:14

108
При борьбе со Спамом - Что может, я делаю как: почтовый Администратор, Доменный Владелец или Пользователь? - 13 April 2017 15:14

96
Постфикс - как повторить доставку почты в очереди? - 19 February 2015 10:13

88
Куда попадает почта, отправленная на *@example.com? [закрыто] - 22 November 2011 04:52

88
Как я становлюсь склонным - добираются для игнорирования некоторых зависимостей? - 22 March 2011 10:17

84
Как послать электронные письма и избежать их классифицируемый как спам? - 13 April 2017 15:14

84
Как послать электронные письма и избежать их классифицируемый как спам? - 13 April 2017 15:14

82
Контакт с нападениями HTTP w00tw00t - 14 September 2011 18:07

69
Замена Exchange Server, которая работает на Linux - 23 January 2015 10:34

55
Как отправить вывод от cronjob до нескольких адресов электронной почты? - 18 February 2016 17:43

54
как зафиксировать “отправлять-почту: Авторизация перестала работать 534 5.7.14” - 10 October 2014 20:16

53
Записи SPF Для Первичного домена относятся к субдоменам? - 19 October 2011 18:59

52
Почему у нас все еще есть такие ограничения на размер прикрепленных файлов электронной почты? [закрыто] - 24 August 2011 10:30

50
Как изменить почтовый предмет Cronjob - 7 January 2013 12:52

score 14 · Answer 1 · 2 December 2019 в 20:06

Становится ли это реальной проблемой для ваших пользователей?

Я бы порекомендовал на данный момент полнофункциональный сервис фильтрации почты. Байесян уже не так горяч. Репутация, RBL, анализ заголовков/вопросов и другие факторы, кажется, помогают больше. Рассмотрим облачный сервис фильтрации, чтобы объединить несколько подходов (и коллективный объем) для обеспечения лучшей защиты (Я использую облачное решение ESS Barracuda для моих клиентов).

И конечно же: Борьба со спамом - что я могу сделать: Администратор электронной почты, владелец домена или пользователь?

На нас не оказали негативного влияния атаки на снегоступы. Я видел период, когда объем почты утроился с каждым днем в результате этих атак. Но ни одна из плохих вещей не выдержала. За 3 дня Барракуда снизил объем до нормального уровня.

Я думаю, что решения фильтрации, которые имеют широкий взгляд на мировую почтовую активность, могут реагировать на атаки лучше, чем отдельные почтовые фильтры.

Правка:

Это также обсуждалось недавно в списке рассылки LOPSA:

Мой вклад: https://www.mail-archive.com/tech
Другое мнение: _COPY4@lists.lopsa.org/msg04181.html

score 8 · Answer 2 · 2 December 2019 в 20:06

Я парень из DNS Ops, который работает в тесном контакте с группой, которая часто подвергается таким атакам. Борьба с атаками на снегоступы - это в первую очередь технологическая проблема, и, как указывает Уэуайт, ее решение может выйти за рамки возможностей вашей компании. Я бы сказал, что если у вас нет большой операции и нескольких коммерческих RBL-каналов, вам , вероятно, не стоит пытаться решить эту проблему самостоятельно, используя коммерческую службу фильтрации.

Тем не менее, у нас есть некоторый опыт работы с этим, и более интересно поделиться им, чем не поделиться с вами. Некоторые точки соприкосновения:

Если возможно, обучение вашей почтовой платформы определению характеристик атаки на снегоступы и временное отклонение сообщений из рассматриваемых сетей. Хорошо себя зарекомендовавшие клиенты будут пытаться повторно отправлять сообщения при временном сбое, другие, как правило, этого не делают.

Убедитесь, что ваши DNS-администраторы отслеживают UDP-MIB::udpInErrors по протоколу SNMP, потому что почтовые платформы очень способны переполнять очереди приема UDP-послушателей во время проведения атаки на снегоступы. Если это не так, то быстрый способ определить это под Linux - запустить netstat -s | grep 'packet receive errors' на соответствующих DNS-серверах; большой подсчет указывает на то, что им нужно снять напряжение и начать обращать на это внимание. При частой утечке им нужно будет добавить емкость или увеличить размер буферов приема. (что означает потерянные DNS запросы, и потерянные возможности для предотвращения спама)

Если вы часто видите эти атаки с использованием только что созданных доменов, то RBL, которые выделяют их, действительно существуют. Примером является FarSight NOD (люди, читающие это, должны проводить свои собственные исследования), но это не бесплатно.

Полное раскрытие: Farsight Security был основан Полом Викси (Paul Vixie), у которого у меня дурная привычка проветривать, когда люди нарушают стандарты DNS
.

score 1 · Answer 3 · 2 December 2019 в 20:06

Я установил Declude (который является бесплатным) и анализатор сообщений (который не является), и за последние 4 дня я заметил одно спам-сообщение, пришедшее на мою тестовую учетную запись электронной почты,в отличие от десятков, которые он получал в день. Насколько я могу судить, нам не удалось отфильтровать хорошие электронные письма. Spamassassin, вероятно, также был бы хорошим решением, хотя мне не повезло с ним, когда я попробовал Spam Assassin in a Box ..

score 0 · Answer 4 · 2 December 2019 в 20:06

Многие ответы здесь относятся к общей защите от спама. В некоторой степени это имеет смысл, поскольку спамеры, похоже, предпочитают использовать снегоступы в качестве предпочтительного метода доставки.

Изначально Snowshoe всегда отправлялся из центров обработки данных в небольшом объеме (на основе IP) и всегда содержал ссылку для отказа от подписки (на ничего не сказать о том, работает ли). В настоящее время snowshoe почти никогда не имеет информации об отказе от подписки и отправляется в большом объеме со своих IP-адресов, но отправляется пакетно, так что к тому времени, когда IP-адрес попадает в черный список, он уже отправил почту. Это называется грозовым спамом .

Из-за этого DNSBL и даже жесткие подписи на основе шаблонов ужасны при обнаружении спама на снегоступах. Есть некоторые исключения, такие как список CSS Spamhaus (который специально предназначен для сетей на снегоступах и является частью как SBL, так и ZEN), но в целом вам понадобится серый список / tarpitting (который может задерживать доставку до тех пор, пока DNSBL не догонит) и, что наиболее важно, система машинного обучения, управляемая токенами, такая как байесовская фильтрация спама . Байес особенно хорош в обнаружении снегоступов.

В ответе Эндрю Б. упоминаются Новые домены и имена хостов (NOD) Farsight Security, которые пытаются предвидеть появление сетей на снегоступах, но до того, как они появятся. начать рассылать спам. Spamhaus CSS, вероятно, делает нечто подобное. CSS готов к использованию в среде блокировки, в то время как NOD действительно предназначен для подачи в пользовательскую систему, а не в автономную / блокирующую систему.