Ayakkabılı kartal spamı yakalamak için en iyi yöntemler nelerdir?

Küçük posta sunucum için Smartermail kullanıyorum. Son zamanlarda aynı modeli izleyen kar ayakkabısı spam dalgalarını alma konusunda bir sorun yaşıyoruz . Bir seferde 3 ya da 4'lük gruplar halinde gelirler. Gövdeler, bağlandıkları etki alanı adı için neredeyse aynıdır. Kaynak IP'ler bir süre aynı / 24 bloğundan olma eğilimindedir, daha sonra başka / 24'e geçer. Alanlar yepyeni olma eğilimindedir. Geçerli PTR ve SPF kayıtlarına sahipler ve bayesyen filtreleri taklit etmek için vücudun dibinde rastgele saçma sapan sesleri var.

Barracuda, Spamhaus, SURBL ve URIBL gibi bir düzine kadar farklı RBL kullanıyorum. Birçoğunu yakalamak için iyi bir iş yapıyorlar, ancak IP'ler ve alanlar kara listeye alınmadığı için hala çok fazla kayma yaşıyoruz.

Yeni oluşturulmuş alanları engelleyen veya özellikle meraklı reklam spam'i ile ilgilenen RBL'ler dahil, uygulayabileceğim herhangi bir strateji var mı? Üçüncü taraf filtreleme hizmetini kullanmaktan kaçınmayı umuyorum.

Bu, kullanıcılarınız için gerçek bir problem mi oluyor?

Bu noktada tam bir posta filtreleme hizmeti öneririm. Bayesian artık o kadar sıcak değil. İtibar, RBL, başlık / niyet analizi ve diğer faktörler daha fazla yardımcı gibi görünmektedir. Daha iyi koruma sağlamak için birden fazla yaklaşımı ( ve toplu hacmi ) birleştirmek için bir bulut filtreleme hizmeti düşünün ( müşterilerim için Barracuda'nın ESS bulut çözümünü kullanıyorum ).

Ve elbette: Spam ile Mücadele - Ne yapabilirim: E-posta Yöneticisi, Etki Alanı Sahibi veya Kullanıcı?

Snowshoe saldırılarındaki artıştan olumsuz yönde etkilenmedik. Bu saldırılarla birlikte posta hacminin günden güne üç katına çıktığını gördüm. Ama kötü şeylerin hiçbiri başaramadı. 3 gün içinde Barracuda hacimleri normal seviyelere düşürdü.

Dünya çapında posta etkinliğini geniş bir görüş alanına sahip olan filtreleme çözümlerinin, bireysel posta filtrelerinden daha iyi saldırılara tepki verebileceğini düşünüyorum.

Düzenle:

Bu son zamanlarda LOPSA posta listesinde de tartışıldı :

Katkım: https://www.mail-archive.com/tech@lists.lopsa.org/msg04180.html
Başka bir görüş: https://www.mail-archive.com/tech@lists.lopsa.org/msg04181 .html

Ben sık sık bu saldırılara maruz kalan bir grupla yakın çalışan bir DNS Ops adamıyım. Snowshoe saldırılarıyla başa çıkmak öncelikle bir süreç sorunudur ve yine de belirttiğimiz gibi, şirket içinde kurum içinde çözme kapsamının ötesinde olabilir. Oldukça büyük bir operasyonunuz ve birkaç ticari RBL yayınınız olmadıkça, muhtemelen ticari bir filtreleme hizmeti kullanarak bunu kendiniz çözmeye çalışmamalısınız.

Bununla birlikte, bununla ilgili bazı deneyimlerimiz var ve paylaşmaktan daha ilginç. Bazı temas noktaları:

• Mümkünse, devam eden Snowshoe saldırısının özelliklerini belirlemek için posta platformunuzu eğitin ve söz konusu ağlardan gelen mesajları geçici olarak reddedin. İyi niyetli müşteriler, geçici bir başarısızlık durumunda mesajları tekrar göndermeye çalışacaklar, diğerleri buna meyilli değil.
• DNS yöneticilerinizin UDP-MIB::udpInErrorsSNMP üzerinden izlendiğinden emin olun , çünkü posta platformları bir Snowshoe saldırısı devam ederken UDP dinleyicilerinin alma sırasını aşabilir. Olmazlarsa, Linux altında anlatmanın hızlı bir yolu söz netstat -s | grep 'packet receive errors'konusu DNS sunucularında çalışmaktır; büyük bir sayı, gecikmelerinden kurtulmaları ve dikkat etmeye başlamaları gerektiğini gösterir. Sık miktarda dökülme meydana gelirse, kapasite artırmaları veya alıcı tamponların boyutunu artırmaları gerekecektir. (bu, kaybedilen DNS sorguları ve spam önleme fırsatlarını kaybettiği anlamına gelir)
• Yeni oluşturulan alanların kullanıldığı bu saldırıları sık sık görüyorsanız, bunları vurgulayan RBL'ler mevcuttur. Bir örnek biridir.topu farsight NOD (bu okuma insanların kendi araştırma yapmalıdır), ama özgür değildir.

Tam açıklama: Farsight Security, insanlar DNS standartlarını ihlal ettiğinde havalandırma yapma alışkanlığım olan Paul Vixie tarafından kuruldu.

Declude (ücretsiz) ve Message Sniffer'i (hangisi değil) yükledim ve son 4 gün içinde, test e-posta hesabımda, günde aldığı düzinelerce bir spam mesajı geldiğini gördüm. Söyleyebileceğim kadarıyla, filtrelenmiş iyi bir e-posta almadık. Spam Assassin bir kutuda Spam Assassin'i denediğimde hiç şansım olmamasına rağmen muhtemelen iyi bir çözüm olabilir.

Buradaki cevapların çoğu genel spam karşıtı. Bir dereceye kadar, spam gönderenlerin tercih edilen bir dağıtım yöntemi olarak kar ayakkabısına yöneldiği görülüyor.

Snowshoe ilk olarak her zaman veri merkezlerinden düşük hacimli (IP başına bir temelde) gönderildi ve her zaman bir abonelikten çıkma bağlantısı içeriyordu (çalışıp çalışmadığı hakkında hiçbir şey söylememek için). Günümüzde, kar ayakkabısı neredeyse hiç abonelikten çıkma bilgisine sahip değildir ve IP'lerinden yüksek hacimli olarak gönderilir, ancak bir patlamada gönderilir, böylece IP kara listeye alındığı zaman zaten posta gönderimi yapılır. Buna dolu fırtınası spam denir .

Bu nedenle, DNSBL'ler ve hatta sıkı desen tabanlı imzalar kar ayakkabısı spam'lerini yakalamakta korkunç. Orada gibi bazı istisnalar vardır Spamhaus CSS listesinde (özellikle kar ayakkabısı ağları hedefleyen ve SBL ve ZEN ikisinin bir parçasıdır), ancak genel olarak şunlar gerekir gri listeye / Tarpitting DNSBLs yakalamak kadar teslim erteleyecek ( ) ve en önemlisi, Bayesian spam filtreleme gibi bir jetonla çalışan makine öğrenme sistemi . Bayes özellikle kar ayakkabısı tespitinde iyidir.

Andrew B’nin cevabı , Farsight Security’nin Yeni Sahip Olduğu Alanlar ve Hostnames’ten (NOD) bahsediyor ; Spamhaus CSS muhtemelen benzer bir şey yapıyor. CSS engelleme ortamında kullanıma hazırdır, NOD ise bağımsız / engelleme sistemi yerine özel bir sistem için bir besleme olacak şekilde tasarlanmıştır.