Spam ile mücadele için sahte MX kayıtlarını kullanma

Çok spam yapan bir müşterim var. Ayın 15'i ve POP3 bant genişliği neredeyse 100 GB. Bu etki alanında yalnızca 7 e-posta hesabı var. SpamAssassin'i 5 olarak ayarladım ve 10-20 filtreleri ayarladım, önemsizlerin çoğunu reddediyorlar. POP3 bant genişliğinde çok fazla değişiklik görmüyorum. Yanlışsam beni düzelt, sunucu yine de spam puanı belirlemek için bant genişliği kullanarak iletiyi alır.

Farkında olmayanlar için sahte MX kayıtlarına rastladım - temelde sahte sunucuyu, çalışan sunucunun MX kaydı ortada olarak en düşük ve en yüksek MX kayıtları olarak ayarladınız.

Örneğin:

fake.example.com    1
realmx.example.com  2
fake2.example.com   3

Teori, spam'ın büyük çoğunluğu Windows tabanlı zombilerden üretildiğinden ve oldukça azı genellikle spam'e filtre uygulamayan yedek sunucular oldukları için spam'a en yüksek MX kaydını sorgular. En düşük sahte MX kaydı geri kalan spam gönderenler içindir .. ve genellikle spam gönderenler hatalardan sonra tekrar denemez.

Bunu deneyen var mı? Yardımcı olur mu? Posta tesliminde gecikme veya sorunlara neden oluyor mu? Daha iyi bir çözümü olan var mı?

Kendinize bir iyilik yapın ve bunları Postini gibi bir ağ geçidi anti-spam hizmetiyle ayarlayın. Aylık posta kutusu başına birkaç dolar için, kesinlikle olmamak için hiçbir neden yoktur ve yalnızca spam'ınızın% 99'unu ortadan kaldırmakla kalmaz, aynı zamanda biriktirme hizmetlerine (planlanmış veya planlanmamış kesinti süreleri için kullanışlı) erişmenin keyfini çıkaracaksınız. ağınızın kenarına çarpmadan önce tüm diğer spam'ları almasına ve işlemesine izin vererek bant genişliği tasarruflarından bahsedin.

Postini çalışanı değil, düzinelerce müşteri de kurmuş mutlu bir kullanıcı.

Bunu denedim ve kesinlikle YAPMAYINIZ ! O zamanlar iyi bir fikir gibi görünüyordu, ancak çeşitli gönderenlerden gelen postalar kaybolmaya başladıktan sonra bunun bir hata olduğunu fark ettim. Fark etmediğim şey, çok fazla yazılmış SMTP sunucusunun olması, spesifikasyonları takip etmemesi ve hataların işlenmesinde oldukça kötü olması ve insanların bilmemesi ya da umursamamasıydı çünkü "bu adam e-postamı aldı , bu yüzden sen olmalısın ".

SPAM ile ilgili diğer bazı önerileri ikinci olarak belirttim. Postini harika bir hizmet ve ücretsiz google uygulamalarındaki yerleşik spam karşıtı şeyler bile o kadar da kötü değil. Daha fazla kontrol istiyorsanız, bir IronPort veya başka bir cihaz satın alabilir veya kendi cihazınızı alabilirsiniz.

Bu yöntemi daha önce hiç duymadım ve yasal e-postayı potansiyel olarak birkaç saat geciktireceğini hayal edebiliyorum. Günün sonunda, smtp protokollerinin yasal e-postanızı göndermesi gerekir. Geçerli sunucular sahte mx kayıt vurmak ve o sunucuya teslim etmeye çalışacağım ... Orada (bir şey varsa) orada ne olabilir bilmiyorum, ama kabul edilene kadar denemeye devam edecektir.

Doğru sunucular posta teslim edilinceye kadar MX kayıtlarını denemeye devam eder. Spam gönderenler daha akıllı olma eğilimindedir ve bu şimdi bazı spam yazılımları için çalışıyorsa, uzun süre çalışacağından şüpheliyim. Bunu tavsiye edemez.

Benim önerim bunun yerine mevcut spam filtrenize ek olarak bir smtp tarpit kullanmaya bakmak. Şu anda bunlardan birkaçı var. Sahte mx kayıt yönteminden çok daha etkili olduğunu düşünüyorum.

Bu tür brandalar BSD'de smtpd ile gelir. Sendmail 8.13'te bazı tarpit özellikleri de vardır.

Temel olarak, bir tarpit spam sunucusu kaynaklarını bağlayarak çalışır. Bunu, aldıkları yanıtları geciktirerek yaparlar. örneğin, spam sunucusu saniyede yaklaşık 1 bayt bağlanır ve alır.
Bazı tarpit sunucuları spam kalıplarını arar ve spam sunucusunu tanıyabilir. Meşru sunucular yavaş bir yanıt beklemeye hazır olacak. Bazı tarpits sunucularında, meşru olarak tanınan sunucuyu otomatik olarak bir beyaz listeye taşırlar, böylece gelecekte gecikme olmaz.

Google SMTP Tarpit ve bir göz atın.

Bahsetmediniz, DNSBL kullanmamanızın bir nedeni var mı ?

Edit: SpamAssassin bunlardan bazıları için destek içerir - onlarsız, spam analiz CPU döngüleri çok israf olacak.

Bunu bu sahte MX ( nolisting bir varyant ) kullanın ve çok iyi çalışıyor.

Ben tüm olağan filtreleri ile bir postfix MX kullandım ve bazı spambot 2 veya 3 kez sunucuyu aşırı yük yönetmek sonra ben denemeye karar verdi ... İşte sonuç:

Ben sahte-mx uyguladığında tahmin etmeye çalışın! 8)

Sonuç postgrey ile aynıdır, ancak postgrey'den farklı olarak posta sunucunuzu değiştirmeniz gerekmez

Spambotlar artık yüksek MX'i veya düşük MX'i deneyecek ve gerçek MX'i filtrelemeye çalışmanın yükünden kurtaracak (DNSBL ile bile, yük yüksekti) ve gerçek e-posta minimum gecikmeyle geliyor.

Ancak dikkatli olun, riskler var:

• Bazı sunucular yeniden deneme süreleri yüksek olabilir. Çoğu sunucu ilk MX zaman aşımından sonra bir sonraki MX'i yeniden deneyecek, diğerleri sonraki birkaç dakika içinde deneyecek, ancak zaten sadece bir saat veya bir gün sonra tekrar deneyen sunucuları gördüm. Çok nadirdir ve yakalayabildikleri için kötü bir yapılandırma idi. diğer posta müdürüyle konuşmak sorunu çözer

• Tüm e-postalarda gecikme olacaktır. Aslında hiç gecikme görmüyorum, hemen hemen tüm gerçek posta sunucuları ilk zaman aşımından sonra bir sonraki MX'ye tekrar deneyecek, bu yüzden 30 saniyelik gecikmeden bahsediyoruz. İletiyi daha uzun bir gecikme için sıraya koymadan önce genellikle en az 3 MX denerler. ancak bunu yapamayan ve her iletiyi dakikalarca geciktiren bir kırık posta sunucusuyla temasınız olabilir. Bu, bu çözümü dağıtırken izlenmesi gereken bir şeydir.

• Bozuk siteler. Bazı web sunucuları parolalar, bildirimler vb. İçin e-posta gönderir ve dahili bir gerçek posta sunucusu için teslim etmek yerine, doğrudan "sahte" bir posta sunucusu ve dağıtım yapmaya çalışırlar. Onun bir web sunucusu olarak, onlar asla yeniden denemek ve e-posta kaybolur. Yine, gerçek e-posta sunucularının e-posta göndermesi gerektiği için web yöneticisi / web geliştiricilerinden gelen kötü bir yapılandırma. Bu sorunları her bulduğumda webmaster ile sorun hakkında konuşuyorum ve genellikle sorun düzeltildi.

• Günlük yok. Sahte MX, bağlantısız IP'lere yöneldiğinden, yayınlanmaya çalıştığınız şeylerle ilgili hiçbir günlüğünüz yoktur. sadece birisi şikayet ettiğinde bir şeyler ters gittiğini bilirsiniz. ama bu da iyi. Her zaman herhangi bir e-posta teslim etme girişiminiz olmadığını iddia edebilirsiniz, bu yüzden uzak bir sorun. Diğer taraf günlüklerini kontrol etmeli ve sorunu çözmelidir. Sorunu diğer tarafa çözmek için baskıyı hareket ettirerek gerçek sunucumla hiçbir bağlantı olmadığını kanıtlayabilirim. Diğer taraf sorunu çözemezse güvenilmez, güvenilir görünmüyordu.

• Beyaz liste yok. bu, dns aracılığıyla tüm sunucular için geçerlidir, bu nedenle bir sunucuyu beyaz listeye alamazsınız ... aslında sadece yarı doğrudur, ancak daha zordur. beyaz liste çözümü, en düşük MX'in bir smtp'nin çalıştığı, ancak herkes için güvenlik duvarı tarafından filtrelendiği bir IP'yi işaret etmesidir. Beyaz listeye eklemek istediğiniz sunucuların güvenlik duvarında bulunmasına izin verilmesi gerekiyordu. Bu şekilde tüm sunucular güvenlik duvarı tarafından reddedilecek ve beyaz listeye eklenenler posta sunucusuna teslim edebilecektir. Çalışır, ancak yalnızca IP beyaz listesi için, e-posta beyaz listesi için çalışmaz.

Uzak gönderenin "reddedilen" yayın günlüğüne sahip olduğu (ve bize sorun olarak gösterebileceği) postgrey'in aksine, sahte MX, web sunucusunun bağlanamadığını ve yeniden denemediğini, mazeret göstermediğini gösterecektir. sorun için uzak taraf için. Başarısız bir MX postgrey üzerinde daha iyi kabul edilir, çünkü her zaman bazı "yönlendirme sorunu, ancak yedek MX iyi çalışıyor, diğer tüm e-postaları alıyoruz"

ile dedi, ben çok az şikayet almak (yaklaşık 3 ayda bir), bu yüzden yeterince güvenli (her spam filtresi riskleri var) düşünün.

Lütfen tüm MX için geçerli ipv4 adresi kullandığımı, ancak sahte olanlar için kullanılmayan kontrol ettiğim bir IP kullandığımı unutmayın (ve böylece herhangi bir bağlantıda zaman aşımı / ana bilgisayar ulaşılamaz). bunu kullanmasanız bile bu kurallar geçerlidir. E-postanın çalışması için mükemmel şekilde geçerli bir dns yapılandırması gerektiren dns ve smtp sunucuları vardır. Sahte MX de geçerli olmalı, erişilemez olmamalıdır.

Sahte MX için denetlemediğiniz özel IP'leri veya IP'leri kullanmayın (ipv6 adresi eklerseniz, ayrıca bir ipv4 adresi ekleyin). Bu, bozuk DNS ve posta sunucularıyla ilgili sorunları ve diğer e-postanızı alma sürprizlerini önler (kontrol etmediğiniz IP'ye bir smtp sunucusu yükleyerek). Ayrıca, CNAME MX için yasaklanmıştır, bu yüzden de kullanmayın, sadece düz bir A kaydı

Son olarak, düz bir zaman aşımı (performansı düşürerek) yerine performansı (ana bilgisayara veya bağlantı noktasına erişilemez) artırmak için sahte MX için bir tcp-reset gönderilmelidir, bu nedenle güvenlik duvarınıza eklemeniz önerilir.

Her neyse, herkese kullanmasını tavsiye ettiğim gibi, sadece hala kullanmıyorum

Posta filtrelemeye gelince, SMTP bağlantısı sırasında gönderen ana bilgisayar adını ve blok listelerini kontrol eden Spamassasin ve policyd-weight kombinasyonundan memnun kaldım . Bu iki nedenden dolayı harika bir şey:

1. reddedilen e-postayı sistem kaynaklarını (bayes analizi biraz zaman alır) ve bant genişliğini yedekleyen spamassasin ile işlemeniz gerekmez
2. gönderen ana bilgisayarları reddedilir, bu nedenle meşru e-postayı engelleme olasılığı düşük olması durumunda göndereni teslim hatası bildirimi alır

Postfix üzerinde kurulum kullanıyorum, ancak sözde Exim ile policyd-weight kurmanın bir yolu var .

Dürüst olmak gerekirse, fikri tam olarak anlamadım.

Tamam, birincil posta sunucumun Sahte olduğunu söylüyorum. Sonra bu yüzden? Hiç yok mu ya da ne? (Diyelim ki SPAMers'ın son kesimini her iki şekilde de keselim.) "Hayatta kalanlar" ikincil kullanacaklar - sorun değil. Peki bu kurulumda neden 3. sunucu var?

Bunun benim cevabım değil, benim cevabım olması gerektiğinden, şu sonuca varırdım : hasta ve soluk bir Greylisting gölgesi. Gerçek bir etki görmek istiyorsanız Greylisting'u kullanmayı deneyin adamım .

Spam hesabımın çoğunu ana bilgisayarlara olan bağlantıları geciktirerek Spamhaus zen listesinde listeleyerek bırakıyorum. Spambotlar gecikmeyi sevmez. HELO komutunda bariz sunucu sahtekarlıklarını tespit etmek de çok fazla spam temizler. Sunucu sahtekarlıklarını belirtmek için bulduğum koşullar şunları içerir.

• Ana bilgisayar adımı veya IP adresimi kullanma.
• Niteliksiz bir ana bilgisayar adı kullanma.
• FQDN yerine bir etki alanı değişmezi ([192.0.2.15]) kullanma. (Evet, RFC'ler gerektirir, ancak bu günlerde Internet posta sunucuları tarafından kullanılmamaktadır.)
• Posta değil HELO adı için SPF başarısız (başarısız, yazılım hatası ve nötr engelleme).

Otomatik veya pazarlama postasına değer veriyorsanız, çalışmayan HELO komutunu kontrol edin. Deneyimlerim, diğer tüm postaların bu koşulları geçmesi.

• Ana makine için FQDN yerine ikinci düzey bir alan adı kullanma.
• RDNS'yi doğrulamak için IP veya HELO adının istenmesi.
• FQDN için geçerli bir ikinci seviye alan gerektiriyor. (yerel geçerli bir alan adı veya yerel alan adı değildir.)

Dönüş yolunuzu imzalamak bazı spam'leri engellemenizi sağlar. Son zamanlarda çok daha az sahte zıplama görmeme rağmen.

Ne yazık ki, meşru otomatik veya pazarlama postasının yüksek bir yüzdesinin dönüş yollarını değiştirdiğini görüyorum. Bu ana makinelerin de genellikle geçerli bir posta yöneticisi adresi yoktur. Dönüş yolunda geçerli bir etki alanı gerektiren çalışılabilir olduğunu buluyorum. Meşru e-postada spam'den çok daha fazla SPF başarısız yanıtı alıyorum.

Kısa süre önce Exim ile spam engelleme ile ilgili deneyimlerimi yayınladım

Ağ geçitleri bozuk olan meşru kişilerin kayıp e-postalarının yanı sıra, uzun zaman önce (15 yıl önce +/- gibi) denendi ve spam göndericiler neredeyse o zamana adapte oldular. Spam üzerinde çok az etkisi olsa da, e-posta güvenilirliğinizde net bir kayıp olacağından şüpheleniyorum. Ancak, denerseniz, lütfen bize sonuçları gönderin!

Ne yazık ki, ilk MX kaydına ulaşılamazsa size posta göndermeyen bazı operatörler var. Geçenlerde bununla ilgili deneyimlerimi bir blog girişinde yazdım, bu yüzden burada tekrar etmeyeceğim. Özet, spam göndericilerin IPv6 (henüz) kullanmadığını düşündüğüm için ilk MX kaydımın yalnızca IPv6'ya özgü bir MX kaydı olmasıydı. Ne yazık ki, bu sorunlara neden oldu ve sonunda bölgemdeki ilk MX kaydına bir IPv4 adresi eklemek zorunda kaldım.